一、X-NUCA赛制

2017年度的X-NUCA联赛分为线上专题赛（以下简称专题赛）和线下总决赛两个阶段。

1、专题赛

专题赛共三期，分别在8月26日、10月8日、11月25日举办。

1）单场团队排名规则

每场专题赛比赛结束后，24小时内需要提交Writeup，经审核没有作弊的情况下，根据团队在本轮专题赛中获得的分数进行排名。若多个团队得分相同，以达到该分数的时间先后排序。

2）单场团队积分计算方法

本轮专题赛比赛结束时，团队单场积分计算方法参考CTFTIME国际惯例，单场积分计算公式如下：

其中：

得分，为这支团队在本场比赛中的得分；

最高分，为本场比赛排名最高团队的得分；

名次，为这支团队在本场比赛的排名位次；

权重，为本场比赛的权重值，本轮专题赛权重统一为50；

团队数，为本场比赛得分超过0的队伍数量；

积分按四舍五入的原则，保留到小数点后2位。

3）团队累计积分总排名

根据团队曾参加过的专项赛所获积分的累加值，对团队进行总排名。每次专题赛后，公布截至本轮专题赛的团队累计积分总排名。

2、总决赛入围规则

总决赛为线下赛，包括团队赛和个人赛两个项目。

1）团队赛入围规则

总决赛团队赛将通过如下两种方式遴选20支团队入围。

方式一：单场专题赛中排名前三的团队直接入围总决赛团队赛。若某场专题赛排名前三的团队中，存在已经入围总决赛的团队，将不再增补第四名等排名靠后的团队入围总决赛。

方式二：在三场专题赛全部结束后，选拔三场专题赛团队累计积分总排名中靠前的团队，补齐20支团队，共同入围总决赛。

每个学校只能有一个团队参赛入围总决赛，并且每个团队不超过8人，上场队员不超过5人。

2）个人赛入围规则

入围总决赛的20支团队，每个团队推选1人入围总决赛个人赛。

3、总决赛

总决赛计划于12月底在深圳举办。

1）年度总决赛团队排名规则

团队赛结束时，经审核没有作弊的情况下，根据各个团队在团队赛中获得的分数进行排名。若多个团队分数相同，以达到该分数的时间先后排序。赛后公布本年度X-NUCA总决赛团队及指导老师排名。

2）年度总决赛个人排名规则

个人赛结束时，经审核没有作弊的情况下，根据参赛者在个人赛中获得的分数进行排名。若多人分数相同，以达到该分数的时间先后排序。总决赛后公布本年度X-NUCA个人赛排名。

3）总决赛团队积分计算方法

总决赛团队积分计算方法与单项赛单场团队积分计算方法相同。本次总决赛权重为100。

4）年度X-NUCA团队积分排名

本年度总决赛结束后，公布本年度团队累计积分排名。

5）跨年度X-NUCA团队积分排名

本年度总决赛结束后，根据各个团队多年度X-NUCA联赛中获得的累计积分进行排名。同时计算各个团队跨年度X-NUCA联赛积分平均值（简称跨年度平均分），并进行排名。

跨年度平均分计算公式如下：

跨年度平均分按四舍五入的原则，保留到小数点后2位。

二、报名规则

凡在X-NUCA联赛官网注册并通过审核的所有队伍均可参赛，报名者必须是在校学生且有指导老师带队，指导老师负责确保团队成员身份，不允许非本校学生参加。X-NUCA联赛将设置统一的报名注册入口。报名时间从X-NUCA联赛开放注册到最后一次专题赛前一天关闭注册为止。

三、奖励规则

四、反作弊规则

X-NUCA联赛奉行公开、公平、公正的原则，X-NUCA联赛技术委员会组织技术力量对赛事过程中的作弊行为进行调查与制止。如发现有舞弊行为，经X-NUCA联赛监督委员会确认并报X-NUCA组委会审议，对作弊者进行警告。经警告后仍不改正，可将作弊参赛队伍及其指导老师排除出本届和下届X-NUCA联赛。X-NUCA联赛各专题赛和总决赛结束后，对参赛者的参赛操作日志保留一个月的质疑投诉期。由X-NUCA联赛技术委员会组织核心技术运作团队，进行日志审计和作弊行为调查。另若收到投诉，X-NUCA联赛监督委员会将委托核心技术运作团队和其他有关单位进行调查。如经调查后确认存在作弊行为，取消其获得的奖励，并视情节与态度给予相应处罚，处罚措施包括内部通报至作弊团队/个人所在学校、公开通报、本届禁赛、永久禁赛等。

五、附则

本细则由X-NUCA联赛技术委员会讨论审议通过，并报X-NUCA联赛组委会确认之日起生效，解释权归X-NUCA联赛组委会所有。

一、题型说明

X-NUCA’ 17 第三期线上赛专题为“企业安全众测”靶场挑战赛，参赛队伍需在靶场中的高度仿真的互联网企业环境中进行“内网安全检查模式”比赛。为了突出靶场场景的真实性，本期线上赛的参赛队伍在完成若干题目并提交flag后可在靶场平台内找到相关线索，开启针对某企业真实互联网业务的“有信众测模式赛题”。

a)“内网安全检查模式”的所有赛题将在线上的比赛靶场平台上进行，在靶场平台中设置了根据真实互联网企业的内外网环境搭

建的仿真场景，包括：场景中的靶机（包括操作系统、应用、服务和数据等）、网络连接和安全策略等。靶场平台为每个参赛队伍提供独立的靶场环境，战队通过远程渗透的方式对该场景进行安全检查，通过提交flag的方式获得积分（需在赛后12小时内向平台提供writeup，用以判断战队成绩的真实性）。

b)“有信众测模式赛题”的目标为某真实互联网应用，取得目标链接的参赛队伍需在比赛时间内对该应用进行渗透测试，并将发

现的漏洞按照指定报告格式提交审核。对于成功提交有效漏洞及报告的战队，除了获得题目得分外，也将得到额外的致谢（具体参见比赛期间的题目说明）。

c)“内网安全检查赛题”内所有flag的总分之和占本期所有赛题总分的80%，“有信众测模式赛题”的得分上限为本期比赛总得

分的20%。

二、比赛流程

1.  比赛开始后，各战队队员登陆比赛页面，获取本期“内网安全检查模式”靶场的总入口地址。

2.  本期比赛中，“内网安全检查模式”靶场中最大限度的仿真了一个典型的真实互联网企业的系统和网络情况，整个安全检查过

程也与真实世界完全一致，战队需要通过渗透来完成这场安全检查，并向平台提交对应的flag来标识进度并得分。比赛开始后，选手需首先对本队伍靶场场景的入口服务进行渗透并获取权限，以该主机为跳板对靶场内的其他多个内网网络不断的进行渗透。在渗透的过程中，选手须注意不断的收集线索和数据，通过不断的丰富场景网络拓扑的画像和发现新的渗透目标，最终完成战队靶场场景的安全检查。在找到靶机系统中的flag后，提交给比赛平台，获得得分。

3.  参赛队伍在正确提交相应的“内网安全检查模式”flag后，靶场平台会将“有信众测模式赛题”的入口地址发放給该参赛队

伍。参赛队伍即可对该众测地址的互联网应用进行测试，挖掘到相关漏洞并在比赛过程中通过参赛队伍页面提交众测报告。

4.  本期比赛得分=“内网安全检查模式”flag得分+“有信众测模式赛题”得分。总得分相同时，“内网安全检查模式”得分高的

队伍排名领先。“内网安全检查模式”得分相同时，较早提交最后一个正确flag的队伍排名领先。

5.“内网安全检查模式”的得分会在战队提交有效flag后实时产生，并在比赛平台界面上同步显示。但得分的有效性，须在赛后

经过比赛裁判组根据对队伍的writeup的审核后方可得到确认。

6.“有信众测模式赛题”的得分，须在赛后由众测目标服务的SRC团队判定战队提交的漏洞等级并评分。

7.“内网安全检查模式”中，每只战队面对的场景均完全相同，并在比赛开始之前由平台下发完毕。为防止战队误操作等导致场

景卡死或损坏导致本队无法继续比赛，在比赛过程中，每个战队有两次机会通过平台页面上的按钮对本队伍的场景进行重置。注意：“场景重置”将使战队的场景回到比赛初始状态，队伍在重置前放到场景中的文件和任何内容都会被清除！请慎重使用。（已提交的flag依然有效）

三、反作弊规则

1.  比赛后台反作弊系统会对比赛过程中的异常行为，如IP地址、token、flag提交时间、答题路径等进行智能分析，并向裁判组

发起警告，同时记录异常日志，作弊行为经裁判组确认后，判定战队违规。

2.  比赛结束12小时之内，各战队必须针对自己的每个flag提交对应writeup报告，经裁判组审核，未提交writeup的战队成绩

会被判定为无效得分。

3.  为防止作弊，每个队伍专属比赛场景中的flag都是唯一的。队伍提交其他队伍的有效flag，将被判定为双方队伍违规。

4.  对flag接口暴力提交或试图暴力破解flag的行为，以及其他任何影响平台运行和比赛公平性的行为均视为违

5.  禁止DDoS、ARP等干扰比赛正常进行的攻击，禁止参赛队伍之间分享任何解题思路及FLAG，一经发现，裁判组均视为战

队违规。

6.  上述各类违规行为，平台承办方及裁判组均有权采取包括取消战队参赛资格、取消战队参赛成绩等惩罚行为，并通报团队指导

老师及学校。

7.  关于比赛规则及所有题目的最终解释权归大赛组委会所有。

2017第一期 top10 更多排名信息请到联赛官网查看，点击进入>>

2017第二期 top10