相关靶场需要用阿里云邮箱激活后登录，请提前准备好相关账号

- 靶场地址：https://******.aliyuncs.com/  比赛正式开始时公布

- 阿里云邮箱注册地址：https://mail.aliyun.com/alimail/ 

- 第七届入侵检测挑战赛报名地址：https://security.alibaba.com/online/detail?id=178

报名时间：2025-01-10 00:00:00 - 2025-01-22 23:59:59

活动时间：2025-01-15 10:00:00 - 2025-01-22 23:59:59

本靶场环境模拟线上真实环境搭建，具有WAF，封禁，干扰，欺骗等动态防御措施。

1. 挑战赛流程：注册并登陆后可以看到“SQL注入靶场”、“log4j”靶场、“XXE”靶场、“jdbc靶场”4个选项，各有若干个链接，抓包即可获得请求参数和内容，其中包含若干个存在漏洞的链接，需要选手自行挖掘和发现。

2. 挑战赛难点：靶场有一套自动化的防御机制，主要为攻击的自动化检测，检测到攻击后会遭遇waf拦截、封禁、欺骗等手段。因此挑战选手需要绕过相关防御机制并成功利用漏洞，来达到挑战赛的目。如果账号被标记异常，需要自主解封后再测试。

3. 账号封禁规则：一个账号激活后，有5次解除账号异常状态的机会，解除次数用尽后，需要用另一个阿里云邮箱进行激活后测试。

4. 挑战成功要求定义：找出每个漏洞对应的若干个链接中包含漏洞的链接，在包含漏洞的链接中设法成功利用漏洞

  - MySQL注入漏洞利用成功判定：需要提交查询出flag所在表名或列名的过程，最后需要获取到数据库表中的flag

  - Log4j漏洞利用成功判定：读取tmp目录下的flag

  - XXE漏洞利用成功判定: 读取tmp目录下的flag

  - jdbc漏洞利用成功判定: 读取tmp目录下的flag

  - Nday类型漏洞利用成功判定：可以获取服务器权限并通过命令执行读取tmp目录下的flag

  - clickhouse注入漏洞利用成功判定：需要提交查询出flag所在表名或列名的过程，最后需要获取到数据库表中的flag

  - groovy代码执行漏洞利用成功判定：可以获取服务器权限并通过命令执行读取tmp目录下的flag

  - 利用WAF引擎缺陷绕过并入侵成功判定：在任意环境下利用WAF引擎缺陷（如解码、解除sql等）成功读取到flag，审核人员会根据提交的报告判定是否为利用WAF引擎缺陷

如果在入侵中利用waf引擎缺陷进行绕过，则该次入侵算作利用WAF引擎缺陷绕过并入侵一类来计算奖励，不算做规则入侵绕过。

类似或部分相同的绕过手法仅第一名提交计算奖励，第二及以后无奖励，且利用WAF引擎缺陷绕过并入侵在不同环境中的同一种手法也属于重复，是否重复最终由审核人员判定。

奖金在活动过程中可能会有所提升，请关注公告。

报告需包含利用成功的详细过程、相关的链接信息、成功证明截图(包含flag，格式为flag{xxxxxxxxx}，flag的长度不确定)三部分信息。

可将漏洞内容放到语雀中（http://www.yuque.com），提交到ASRC，语雀文档分享时，请选择【需要密码访问】，也可直接在ASRC的漏洞页面编写详情内容提交。

欢迎加入比赛钉钉群，任何答疑可咨询管理员，或搜索钉钉群号：71210001232 加入。