题目投稿规范及奖励标准 v1.1

harry 2021-03-05 21:12:44 6754 7

目前仅支持原创题目,非原创题目/原题搬运勿投,也不接受其他平台已公布WP后简单修改的题目。

0. 通用要求

  • 题目内容请积极向上,符合国家法律法规
  • 必须包含完整的wp,推荐markdown形式,docx也可以,但是doc文档内代码推荐另存文件避免格式出错
  • 简述所有考点,flag格式尽量用bugku{}
  • 若投稿题目附件过大,可以上传到网盘。

1. WEB类型题目

请尽量提交Dockerfile文件,Dockerfile文件启动脚本请设置为/start.sh,如果不包含Dockerfile会导致您的题目奖励金币被降低

  1. 若无Dockerfile请详细说明所用环境软件版本,例如tomcat9/php7.2/python3.7等
  2. WEB题目所用FLAG均要求为动态,题目启动时会设置FLAG变量,如需写到文件请自行echo $FLAG > /flag && chmod 444 /flag,写入后请export FLAG=not_flag,如需写入数据库请自行执行create_db_sql="insert into flag(flag) values (${DBNAME});" && mysql -h${HOSTNAME} -P${PORT} -uroot -pyourpass -e"${create_db_sql}" && export FLAG=not_flag
  3. WEB题目所用镜像推荐使用alpine镜像,更加精简,占用小,启动快。
  4. 请暴露80端口,其他端口不识别。
  5. FLAG可以为文件或者数据库记录,错误FLAG请明示(例如flag{THIS_IS_NOT_FLAG}
  6. 数据库文件请导出db.sql而不是打包mysql/data文件夹

示例Dockerfile(php5.5环境)

FROM yemoli/web-ctf
EXPOSE 80
RUN rm -rf /var/www/html/index.php
COPY src/ /var/www/html/
COPY start.sh /start.sh
RUN chmod 777 /start.sh && chmod -R 777 /var/www/html
CMD ["/start.sh"]

示例start.sh

#!/usr/bin/env bash
service apache2 start
echo $FLAG > /flag
chmod 444 /flag
export FLAG=not_flag
FLAG=not_flag
while test "1" = "1"
do
sleep 1000
done
/usr/bin/tail -f /dev/null

特殊说明:start.sh中第3-6行命令可以替换为:

#供SQL注入题目参考
create_db_sql="insert into flag(flag) values (${FLAG});"
mysql -P3306  -uroot -pyourpass -e"${create_db_sql}"
export FLAG=not_flag
FLAG=not_flag
#如需使用flag.php而无需读/flag
sed -i 's/flag{static_flag}/'$FLAG'/g' /var/www/html/flag.php
export FLAG=not_flag
FLAG=not_flag


2. PWN类型题目

  1. 必须有Dockerfile且详细说明所用环境版本,例如ubuntu16.04/glibc2.23等
  2. 请提交pwn题源码和gcc编译命令,如需给glibc的so请一并打包。
  3. 所用FLAG要求为动态,题目启动时会设置FLAG变量,如需写到文件请自行echo $FLAG > /home/ctf/flag && chmod 444 /home/ctf/flag
  4. PWN题目所用镜像推荐使用ubuntu官方镜像。
  5. 请暴露9999端口,其他端口不识别。
  6. 尽量使用ctf账户启动pwn题,例如RUN useradd -d /home/ctf/ -m -p ctf -s /bin/bash ctf RUN echo "ctf:ctf" | chpasswd

3. MISC类型题目

  1. 套娃题目尽量少于5层。
  2. 不审核本平台已有类型套路题目。

4. RE类型题目

  1. 严禁任何破坏CTFer本机的恶意行为,包括但不限于删除文件、恶意填塞/格式化硬盘、蠕虫病毒等行为。

5. CRYPRO类型题目

  1. 支持静态、动态flag模式。若为动态请提供服务端脚本或者dockerfile,环境变量与PWN或WEB类型的一致,具体请参考以上两种题目的说明。
  2. 禁止简单套娃题目比如:栅栏加密后base加密


6. 奖励标准

按照难易程度和题目质量奖励:
简单:30-100金币
中等:100-200金币
困难:200-400金币(仅包含web,pwn,逆向)
题目writeup收入:
每个用户查看writeup奖励出题者1金币
...
登录回复
评论(7)
笨笨笨蛋 1年前

我顶!!!!

回复 0
哇哦~ 3年前

顶爆

回复 0
DawdleD 3年前

请问规范要求第一段中的”简单修改“具体是如何界定的? 比如一道题目我进行了少许修改,致使题目的解法改变了,这算是”简单修改“还是不算?

回复 0
Jesen 3年前

不算

回复 0
1998 3年前

好顶支持

回复 2
‌‌‌‌‌‬‌‌ 3年前

好顶支持

回复 5
cheyenne 管理员 3年前

好顶支持

回复 4