当前位置： && 资讯详情
2015 Pwn2Own比赛战况
阅读：3049次
2015 Pwn2Own比赛一共7支队伍参加，挑战12项高难度的比赛项目。以下是比赛日程及结果：周三：10:00 – Team509 和 KeenTeam(碁震团队) – Adobe Flash 11:30 – Nicolas Joly – Adobe Flash 13:00 – Nicolas Joly – Adobe Reader14:30 – KeenTeam& – Adobe Reader 16:00 – Mariusz Mlynski – 火狐 Firefox 17:30 – 360Vulcan Team – 微软 IE11Arnaud Lubin – 火狐 Firefox – Withdraw周四10:00 – ilxu1a – Mozilla Firefox11:30 – JungHoon Lee (lokihardt) – 微软 IE1113:00 – JungHoon Lee (lokihardt) – 谷歌 Chrome14:30 – JungHoon Lee (lokihardt) – 苹果 Safari16:00 – ilxu1a – 谷歌 Chrome
本文由 安全客 原创发布，如需转载请注明来源及本文地址。本文地址：http://bobao.360.cn/news/detail/1329.html
参与讨论，请先
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]中国黑客在Pwn2Own 2016上是怎样一种存在？ - FreeBuf.COM | 关注黑客与极客
中国黑客在Pwn2Own 2016上是怎样一种存在？
共554669人围观
，发现 21 个不明物体
AlphaGo在战胜李世石后，谁会最终战胜它？
或许Pwn2Own会让它望而却步，因……为……狗…….有……漏……洞……
诞生自2007年的现已经成为奖金额最高的黑客大赛。作为安全界最受瞩目的赛事，今年在加拿大温哥华举办的Pwn2Own首次设立了“破解大师”（Master of Pwn Awarded）的荣誉称号，据说奖品就是下面这件紫色天鹅绒浴袍！
数据大话2016 Pwn2Own
参加本届大赛角逐的团队（或个人）有5个，他们分别是来自中国的360Vulcan Team、腾讯Shield安全战队、腾讯Sniper安全战队、腾讯玄武实验室和个人出战的韩国神童黑客JungHoon Lee （去年他一人攻破IE11、Chrome和Safari浏览器，独揽22W美元巨奖）；
报名进行的破解项目共计11个，分2日举行；
每个项目破解可以进行3次尝试；
参赛者/团队每次尝试要在15分钟内完成；
本届比赛奖金总额为60万美元；
最终只产生1个“破解大师”头衔。
报名参赛团队与项目（成功得分）情况
360Vulcan Team
谷歌Chrome（10）+ 系统级访问（5）
Adobe Flash（8）+ 系统级访问（5）
腾讯Shield安全战队（电脑管家与KEEN）
苹果Safari（6）+ Root访问（4）
Adobe Flash（8）+ 系统级访问（5）
腾讯Sniper安全战队（KEEN和电脑管家）
微软Edge（10）+ 系统级访问（5）
Adobe Flash（8）+ 系统级访问（5）
苹果Safari（6）+ Root访问（4）
腾讯玄武实验室
微软Edge中的Adobe Flash（8）+ 微软Edge（10）
JungHoon Lee（又名lokihardt）
谷歌Chrome（10）
微软Edge（10）+ 系统级访问（5）
苹果Safari（6）+ Root访问（4）
比赛首日：东方亮
根据日程安排，韩国小子率先登场，通过Safari中的一个UAF（use after free）漏洞、堆溢出漏洞和其他越权技巧一举攻破苹果Safari，拿到10分和6万美金的奖励，暂居排行榜第一位。
接下来出场的是360Vulcan团队，我们看到照片中360安全专家古河正专注于对Adobe Flash的破解当中。通过一个类型混淆漏洞和Windows内核漏洞，最终不出意料地获得系统最高权限！
随后，360Vulcan Team用时11秒变攻破了谷歌Chrome浏览器，利用供应商已知的一个越界漏洞和三个UAF漏洞拿到系统最高权限。需要提到的一点是因为在破解Chrome时发生“撞洞”（即其中一个chrome漏洞谷歌已知），从而积分减少了3分。不过360Vulcan Team还是以25个积分荣升排行榜首位，累计奖金已达13.25万美元。
腾讯Sniper安全战队3秒攻破Flash插件，利用了Flash中的一个越界漏洞、一个信息泄露漏洞和Windows内核系统中的UAF类型漏洞获得系统访问权限，拿到全额积分。
另一只腾讯安全战队Shield用时5秒攻破了苹果Safari浏览器，这里利用了Safari和系统内核中的两个UAF类型漏洞，因此Shield也在排行榜中获得10个积分。
最后一个出场的是玄武实验室，虽然未能完成对Flash的挑战，但是从着装来看两位黑客欧巴还是深得TK教主真传的。
16日积分榜：360Vulcan Team力压韩国神童
首日的六个挑战告一段落，排行榜上发生了变化。360Vulcan Team因为所有项目已经顺利完成暂居排行榜首位。
“破解大师”花落谁家，17日揭晓
明日凌晨会有5个项目在我们熟睡的时候进行，来自腾讯的两只安全战队Sniper和Shield将于JungHoon Lee同场竞技。
从来看，韩国神童如果攻破所有项目最高可获得35积分，而腾讯Sniper安全战队则有望以3个积分的优势赢得最终的胜利。
无论结果如何，最终披上那件紫色浴袍的一定会是亚洲人！
番外：阻碍别国黑客参赛《瓦森纳协定》
2015年新添的《瓦森纳协定》条款禁止出口，包括“特殊设计”的或是修改以逃避“监视工具”检测的软件，以及令“保护措施”无效的软件。这也就意味禁止在不同的国家之间互通漏洞信息。
一些参赛选手担心违反协定，选择放弃参加国外的黑客比赛。目前《瓦森纳协定》共有包括美国、日本、英国、俄罗斯等41个成员国，尽管韩国也位列其中，但是这并没有影响Pwn2Own这一全球影响力最大的黑客破解赛事只有中国队和韩国人捧场的局面。
17日战况更新：
最终腾讯安全战队Sniper凭借总积分38分名列Pwn2Own积分榜榜首，摘得世界总冠军，并且获得这一顶级赛事史上首个“Master of Pwn”（破解大师）称号。
韩国神童JungHoon Lee挑战谷歌Chrome失利，因此积分25与360Vulcan Team并列排行榜第二位。
*FreeBuf小编综合整理，部分图片来自360摄影师兼Hacker杨卿，特此感谢，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）
真好意思？五支队伍中国占四个，其中腾讯占三个，群殴人家一个韩国个人队伍，我也是醉了，看来破解大师肯定是韩国的啦，无悬念。
4只中国队OK一个韩国欧巴
韩国小哥拿到的奖金是所有参赛组的第一名．．人家只要钱就行了．讯哥儿不一样，他还要拿这个第一的虚名回国招摇撞骗呢
因为恐惧黑客的存在，我网银都不在家用，会专门跑到银行大厅，用他们给客户准备的电脑操作。[喵喵][喵喵][喵喵]
我也希望能成为他们一样牛叉的人，。
必须您当前尚未登录。
必须（保密）
be kind to one another
关注我们 分享每日精选文章在顶级赛事Pwn2Own上三连冠的中国黑客Keen Team是什么来头？
北京时间3月19日， 在温哥华举办的世界顶级黑客大赛Pwn2Own上，中国安全研究团队Keen Team夺得了世界冠军。三届Pwn2Own，Keen Team共累计夺得了五个冠军。Pwn2Own是全球公认级别最高的黑客大赛，而今年这一届在黑客圈内被称为“史上最难的一届”。在这场比赛里，Keen Team选报了两个项目：在IE环境下攻破Flash和攻破PDF阅读器。比赛开始后，Keen Team研究员Peter用30秒灭掉了第一个项目；另一位研究员陆吉辉则联手腾讯电脑管家团队，用60秒完成了第二项任务。我们先来科普一下。这个赛事由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI主办，面向全球所有黑客。谷歌、微软、苹果、Adobe等巨头都是该赛事的赞助商。比赛规则是参赛者制作一个网页，能够在浏览器访问时控制电脑弹出一个高权限程序，来证明浏览器存在漏洞。那么，问题来了。Keen Team是何方神圣？所在的上海碁震云计算科技有限公司是一家成立于2011年的“白帽”黑客公司，成员不足30人。“Keen Team的工作就是进行漏洞挖掘和漏洞利用。”Keen Team的一位成员解释说。相对于专门攻击计算机安全系统并以此获利的“黑帽”黑客，“白帽”黑客专注信息安全研究，以帮助企业发现、修复漏洞为商业模式。成立以来，Keen Team为谷歌、微软、苹果等公司的主流软件排查出过数百个严重安全漏洞，在2014年12月正式成为第一个合作的亚洲伙伴，这意味着中国安全研究团队的实力获得世界最高水平安全社区的认可。在去年10月周五，一场名为“安全极客嘉年华暨GeekPwn”的活动上，Keen的CEO王琦现场演示了如何攻破特斯拉的系统。在王琦演示中，只要通过手机打开网页，就可以远程让一辆特斯拉打开车门、后备箱，让正向行使的汽车突然倒车，甚至熄火失控。王琦说，他的团队共有10个人用了4个月的时间发现了这个漏洞。一个月后，特斯拉总部给远在上海的Keen送来了安全奖章。”Keen为iOS排查出的漏洞比苹果自己排查出的还多。“Keen的战略合作方、腾讯电脑管家的相关人士说。Keen的安防能力也正是腾讯对其青睐有加的原因。目前微信的账号登录、微信红包等功能的最后一道安全防护，是由Keen来为其把关。
未来面前，你我还都是孩子，还不去下载 猛嗅创新！
后参与评论关于Pwn2Own 2015必须知道的10件事_网易科技
关于Pwn2Own 2015必须知道的10件事
用微信扫码二维码
分享至好友和朋友圈
今天被Pwn2Own的新闻刷屏了。也难怪，Pwn2Own是全球最负盛名的黑客大赛，Pwn2Own 2015又被业内称为史上最难的黑客大赛，因此引发了圈内圈外强烈的关注和讨论。但是我们在讨论Pwn2Own的时候，很多人恐怕都不知道以下这10件事——1、抽签很重要如果你要参加Pwn2Own，记得要从平时开始攒人品。在Pwn2Own比赛场上，如果选择攻打同样的目标，所有选手并不是同时开始比赛，而是抽签决定谁先上。假设选手们同样都能攻打成功，那么手气好的抽到第一个出场则能打赢全奖。手气不好的则只能在后面出场，即使攻打成功，也只能拿到一半的奖金。2、难度加大，奖金减少Pwn2Own在所有黑客大赛中，一直以高额奖金著称，虽然其对技术的要求近乎苛刻，还得交万元人民币的报名费，但还是有众多顶尖黑客团队从世界各地慕名而来。但是让很多黑客不满的是，今年Pwn2Own的比赛难度明显加大，尤其是IE，攻破难度已经超过去年价值15万美金的“独角兽”大奖（去年无人获奖），奖金却少了一大半。VUPEN创始人ChaoukiBekrar为此公开吐槽并宣布退赛。3、IE难度史上最高Pwn2Own以Chrome、IE、Safari、Firefox等常见浏览器以及IE的和PDF插件作为主要攻击目标，参赛的黑客们通常会以参赛项目的奖金额以及获取权限的程度，也就是最后能够拿到多少奖金，来作为最终评判赛事难易度的一个可量化衡量标准。今年奖金最多的仍然是Chrome，7.5万美金。第二名是就是IE，6.5万美金。但是今年Pwn2Own对IE增加了几个特殊要求——不仅要攻破IE11的增强沙箱保护和64位进程，还要突破最新版本的EMET漏洞防御工具（这些都是非默认配置），同时禁止通过注销或重启实现攻击，因此今年IE的攻击难度史无前例，被业界视为几乎不可能完成的任务。4、亚洲团队首次攻破IEPwn2Own自2007年创办以来，至今已经第九年。但是九年来，没有亚洲团队在比赛上攻破IE，欧美国家在该项目上占有绝对统治地位。不过让人惊喜的是，今年首次参赛的Vulcan Team在17秒内一举攻破IE11，给中国黑客圈大大的长了脸，让老外也知道中国安全技术顶呱呱。5、前“VUPEN主攻手”暴打Adobe刷奖VUPEN虽然没有来，但之前VUPEN团队的主攻手Nicolas Joly却从VUPEN离职，以个人名义参加了此次比赛。从参赛项目来看，Nicolas Joly也选择放弃挑战IE，而是把攻击目标锁定在了难度相对较低的 Reader和Adobe Flash上，以两个低难度项目拼更多奖金。最终Nicolas Joly一人打下9万美元奖金。6、腾讯猛抱KeenTeam大腿前些天大赛主办方ZDI公布参赛名单时，中国两支团队360Vulcan Team和Keen Team格外引人瞩目，当时并没有的影子。然而令人诧异的是，就在比赛正式打响后，Adobe Reader的挑战者忽然变成Keen Team和腾讯管家联队。业内传闻，腾讯看到360组队参赛后，立刻向其投资过的Keen Team施压，要求在比赛里把腾讯的名字也带上。而在比赛过程中，腾讯的“参赛人员”全程都在一旁围观，并没有对Keen Team攻破Adobe Reader做出任何贡献。只是在赛事结束拍照时，腾讯人员才举着广告合影。这也算是抱着Keen Team的大腿刷下存在感了。7、XX秒攻破真靠谱吗？上面吐槽了腾讯，再说360高调宣传的“17秒攻破IE”。事实上业内都明白，Pwn2Own的比赛就是个演示，攻击代码是赛前早已经准备好的，上场就是操作一下。手快的十几秒搞定，手慢的几十秒搞定，没有本质差别。俗话说得好，台上一分钟，台下十年功。挖掘漏洞和深入研究漏洞的原理、攻击方式、防护方案，都需要长时间的积累。17秒，您找屏幕坏点呐？8、Firefox赤膊上阵Firefox可以说是Pwn2Own比赛中安全性最差的浏览器。在2014年Pwn2Own上，Firefox就被打成了“筛子”，总共被四组参赛选手用四种方法轮流攻陷。其实，Firefox最大的短板是没有沙箱，基本相当于赤膊上阵，堪称本次比赛头号“软柿子”。9、韩国“神童”以一敌三传说中的韩国黑客“神童”JungHoon Lee一口气报名参加了Chrome、IE和Safari三个项目。而这三款浏览器，也被公认为本届比赛难度最高的三个目标。不过这个被冠以“神童”的韩国人，背景可能没有那么单纯。业内传说JungHoon Lee单挑三大浏览器只是韩国政府的“造神”伎俩，这个“神童”背后站着的其实是庞大的韩国黑客“国家队”。实际上，韩国、日本都格外重视对安全攻防人才的培养，培养黑客从娃娃抓起，一路保送上大学，先是打CTF攻防比赛成为职业选手，如今又力图在Pwn2Own黑客大赛上扬名立万。10、被攻破的软件厂商才是大赢家很多人都很关心比赛利用的0day漏洞是否会泄密？实际上完全不必有这种担心。无论是Pwn2Own，还是其他有奖金的黑客比赛，在比赛结束后，所有选手找到的漏洞都会一并提交给厂商进行修复。这也是包括微软、苹果、谷歌这些互联网巨头举办黑客比赛的目的之一，花小钱补大漏洞，何乐而不为。
免责声明：本文仅代表作者个人观点，与环球网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。
本文来源：中国经济网
责任编辑：王晓易_NE0011
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈&&&&3月18日，Pwn2Own&2015将在加拿大温哥华拉开战幕。在持续两天的比赛中，来自全球顶尖黑客高手，将向、、、等常见以及IE的和插件发起攻击，夺取高额比赛奖金。&&&&不过对于很多信息安全的新手来说，他们往往会将Pwn2Own与另一著名国际黑客赛事Defcon&ctf混淆，搞不清楚两者的区别。&&&&借着Pwn2Own&2015开赛在即的间隙，小编从比赛形式、参赛门槛、参赛选手、活动氛围四个维度对两大国际黑客大赛进行全面对比，帮助年轻黑客及安全技术研究爱好者更好的认识和了解Pwn2Own与Defcon&CTF&。Pwn2Own像射击，Defcon&CTF像足球&&&&Defcon&CTF更倾向于人与人之间的对抗。CTF赛制代替之前黑客们通过互相发起真实攻击进行技术比拼的方式，得到广泛普及。仅2014年全球就有超过50场国际性CTF赛事举办，而DEFCON&CTF总决赛则是CTF赛事中最顶尖的舞台。&&&&与之相比，至今仅第七个年头的Pwn2Own就要年轻的多，比赛形式也更新颖。Pwn2Own比赛的目标硬件为安装当年最新系统的Windows或苹果笔记本，则是最新版浏览器及其插件。&&&&由美国五角大楼入侵防护系统供应商TippingPoint的DVLabs赞助总计近百万美元的赛事奖金每年吸引着无数顶尖的黑客对这些产品发起挑战。&&&&不难看出，Defcon&CTF对临场发挥的要求更高。而从竞技的角度来说CTF更倾向于对抗，Pwn2Own则是对同目标的比拼。用体育项目来比喻的话，CTF就是足球比赛，Pwn2Own就是目标明确的射击比赛。&&&&顺便说说今年Pwn2Own的6个“靶心”。浏览器目标有三个，分别为Chrome&42、&IE&11、Firefox，两个Windows浏览器插件目标即运行在IE&11内的和，以及苹果系统自带的。&&&&与以往不同的是，2015PWN2OWN的“靶心”更小了。本届赛事、Flash、PDF三个目标都运行在64位下并且打开了EPM（增强保护模式），致使赛事的整体难度大幅提升。&&&&如何直观了解项目的难度，从主办方为其悬赏的奖金就可以看出。攻破Chrome、IE、Firefox和Safari四大主流浏览器分别为7.5万美元、6.5万美元、3万美元、5万美元。而IE浏览器插件Flash与PDF的奖金均为6万美元。当然如果能够在此基础上，获取目标更高的系统级权限，还能拿到2.5万元的额外奖金，鼓励黑客们去发现更多更高级漏洞。&&&&然而曾在Pwn2Own比赛上攻破Chrome的“常胜将军”VUPEN黑客团队创始人Chaouki&Bekrar就公开在推特上表示：“2015年的Pwn2Own你在开玩笑吗？奖金少了，难度却增加了（64位、EMET、增强沙箱保护、禁止注销/重启等），坐等2016的到来。”&&&&业内专家“TK教主”于旸在知乎上对此事的评价称是VUPEN认为比赛难度提升，奖金却变少了，不合理。毕竟VUPEN是以此为业的。比赛者区别比赛者&&&&CTF赛事入门门槛相对较低，鼓励大众的参与，无论是专业人士、泛专业人士、爱好者都可参与，除正式比赛外，年轻黑客还可以考虑报名CTF外围赛磨练自己。&&&&参加PWN2OWN赛事门槛就相对高了许多，仅仅注册报名就需上万人民币。即便是顶级黑客没有充分的准备也不会贸然参赛的，毕竟每个“靶心”背后站着全球著名互联网公司的安全团队倾力打造的安全体系。&&&&换个角度来说，CTF赛事中不乏学生战队，如国内的参加CTF的常客蓝莲花战队，就是以清华学生为参赛主体。而Pwn2Own中学生参赛情况较为罕见。&&&&不过这不能代表CTF或Pwn2Own的最高参赛者水平孰高孰低，CTF赛事的顶尖队伍参加Pwn2Own也不在少数。&&&&CTF赛事多数是团队作战，毕竟在48小时或者更短的时间需要完成主办方设置的题目获取旗帜，进行技术攻防，所以单人作战往往顾此失彼，力不从心。优势互补的团队作战是CTF赛事的主流。&&&&然而盘点历年PWN2OWN个人参赛者就不少，但随着比赛难度的逐步提高，PWN2OWN团队作战比例呈现上升趋势。如图所示，去年被破解的项目中团队作战占比超过63%。2014&PWN2OWN&冠军一览左至右依次是冠军得主、团队名、年份、挑战项目&&&&团队作战的代表中除了夺冠次数最多的VUPEN战队外，来自中国的Keen&Team战队也是团队作战的代表战队，连续两届夺冠的他们俨然成为国内乃至亚洲顶级黑客战队的旗帜。赛制区别&&&&从活动气氛上来说，CTF相比PWN2OWN更活跃。这可能与CTF赛制的诞生地Defcon有关，Defcon一直以嘉年华的形式举办，CTF比赛现场常常在现场设置大屏幕观看排名，炫目的示意图等。今年2月日本举办的SECCONCTF中攻防可视化技术的展示&&&&相比之下PWN2OWN更注重研究院员的技术成果，现场气氛较为严肃，毕竟挑战全球知名软件背后的安全团队并不是一件容易的事情。&&&&&Defcon&CTF气氛活跃可能还有历史基因的关系在里面。Defcon创始人、黑客社区的“摇滚巨星”JeffMoss创建Defcon的初衷，源自有一次他为朋友办了一个告别Party，结果他朋友先走了。MOSS就把熟悉的黑客叫过来继续开Party，最后演变成全球著名的黑客大会Defcon。&&&&最后分享个冷知识，Pwn2Own里的“Pwn”是一个黑客语法的俚语词，自“own”这个字引申出来的，这个词的初始含义是玩家在整个游戏对战中处在胜利的优势，或是说明竞争对手处在完全惨败的情形下，这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败。&&&&在黑客界中意为攻破、控制的意思，黑客需要利用漏洞来修改程序（或者进程）中的标准执行路径，从而达到执行任意命令的目的。Pwn2Own顾名思义就是攻破控制设定好的挑战目标。&&&&说了那么多，相信大家心中对Pwn2Own与Defcon&CTF有清晰的轮廓。其实黑客大赛和其他竞技比赛一样，外行看热闹，内行看门道。同级别的比赛中GeekPwn可谓是最亲民的黑客大赛，感兴趣的可以自行了解下，在此就不复述了。&&&&2015&PWN2OWN马上就要开始了，最终会有哪些中国或亚洲的安全研究团队出现在Pwn2Own现场，又有谁能够打中”靶心”成为今年的神枪手呢，让我们拭目以待吧。
4￥33495￥42006￥12607￥6488￥39009￥49810￥3500