在短短几周内，全球数万名学生与专业人士将聚焦六项竞赛，为他们支持的队伍加油助威。若您长期关注我们的博客，定会知道这正是全美规模最大的学生主导网络安全活动——网络安全意识周（CSAW）。无论多忙碌，我们始终会抽空助力这场盛事的成功。

CSAW在我们心中占据特殊地位。
我们为自身的学术与研究根基感到自豪，并坚信推动全民网络安全教育至关重要。自CSAW创办以来，我们便深度参与其中：Dan和Yan曾以学生身份参赛，并在早期活动中发挥核心作用。此后，我们的员工持续为活动贡献力量，尤其专注于我们最钟爱的CTF挑战（特别感谢Ryan和Sophia付出的时间与精力）。事实上，多位团队成员在入职前都曾作为学生参赛，例如Sophia和Sam。更令人欣喜的是，我们通过CSAW女性暑期项目结识了最新实习生Loren。

CTF的魅力在于融合了多方协作的多样化贡献，其专业深度难以企及。

今年我们为资格赛设计了五道CTF挑战：

wyvern

参赛者首先面对一个经过混淆的Linux二进制文件（即crackme），运行时会要求输入。通过LLVM实现的深度混淆技术（包括虚假谓词插入、代码扩散和基本块分割）使静态逆向分析极为困难。参与者需采用动态方法，利用程序分析工具暴力破解flag。过程中，他们将学习如何通过监控指令计数变化推断程序执行路径，并掌握PIN、Angr或AFL等工具的使用。

bricks of gold

这道挑战以国际谜案开场：“我们截获了一份走私入境的加密文件，仅知对方使用了自定义CBC模式算法——很可能存在漏洞。”参与者需成功解密该文件的异或CBC加密，寻找算法、密钥和初始向量。解题需掌握文件头结构、密码学知识及暴力破解技巧，同时学会检测加密文件的低熵特征、未加密字符串和CBC模式块规律。

sharpturn

参赛者获得一个损坏的Git仓库压缩包，需修复损坏并读取文件。实际上存在三处损坏：每处均为单个比特错误，且均位于源代码文件中（此为Trail of Bits真实案例）。修复后，源代码可编译成内含答案的二进制文件。参与者将理解Git blob如何通过添加头部和zlib压缩存储文件版本，并利用Git版本信息重建损坏的提交记录，深入探究Git底层实现以编写恢复程序。

punchout

题目提供三份来自IBM System/360打孔卡的二进制数据及其加密内容。这些卡片采用1965年的加密技术，要求参与者研究当时的安全机制。他们需应对KW-26等密码（生成长比特流并与明文异或）及IBM使用的EBCDIC编码（非ASCII）。由于同一比特流被重复用于加密多个数据块，这种密钥复用存在已知攻击方式。参与者通过“crib dragging”（拖拽已知明文）技术破解密码。

“math aside, we’re all blackhats now”

参与者需找出为电视剧《硅谷》提供咨询的安全行业专家。前两季中，敏锐观众发现剧中大量道具、名称和情节精准引用了CTF社区。题目要求推断谁可能向制片方泄露了内部信息。

1,367支队伍至少获得一分，这已使本届活动取得巨大成功。 我们期待在纽约见证决赛队伍的精彩对决。若您错过参赛截止时间，仍可在GitHub找到我们往期的CTF挑战。

T-shirt征集解题报告

为鼓励团队分享解题思路，我们向发布优质writeup的队伍赠送限量T恤。这些T恤已寄往英国、加拿大、澳大利亚和新加坡等地！

致谢以下解题团队：

• bricks of gold: negasora, team ascii_overflow
• wyvern: yrp604
• sharpturn: nandy narwhals, team K17
• thehobn
• Lensera
• ndomProgrammer

主导政策竞赛

《瓦森纳协定》凸显了我们长期关注的一系列问题。我们坚定支持“负责任网络安全联盟”的使命，确保美国出口管制法规不影响本国网络安全效能。因此，我们协助CSAW举办政策竞赛，鼓励学生探讨美国政府实施漏洞赏金计划的可行性，并提交可行方案。近期《陆军网络防御评论》对该议题的探讨令我们倍感鼓舞。

参赛方案由领域专家组成的评审团评估，前五名团队将在CSAW现场展示提案，前三名获得奖金及行业专家重点指导。

终止THREADS项目

在运营THREADS三年后，我们决定将CSAW贡献重心转向竞赛。欢迎各界人士加入我们，共同激励和培养各学术阶段的学生（若您已毕业且在纽约，可关注我们的Empire Hacking技术聚会）。

愿最佳团队胜出！