駭客高手一天挖出三個真實世界 0day 漏洞!
駭客高手一天挖出三個真實世界 0day 漏洞!
正在台灣舉行的 HITCON CTF 2016 決賽在為期兩天激烈的駭客攻防戰,冠軍隊伍終於出爐。Cykorkinesis (韓國)奪下國際駭客級資安競賽 HITCON CTF 2016 冠軍,獲得獎金 10,000 美元,並將直接晉級美國 DEFCON2017 決賽。
第二、三名為 LC↯BC (俄羅斯)與 PPP (美國),分別獲得 5,000 美元與 2,000 美元獎金。同時台灣 Dispwnable 隊伍也因表現優異,榮獲 HITCON TAIWAN STAR 獎,予以頒發 1,000 美元獎金。
這次決賽隊伍有:美國 PPP、俄羅斯聯隊 LC↯BC、韓國 Cykorkinesis、美國 Shellphish、日本 TokyoWesterns、越南 CLGT、匈牙利!SpamAndHex、羅馬尼亞 PwnThyBytes、韓國 KAIST Gon、中國 0ops、台灣 Dispwnable、台灣 Hacker Forge、波蘭 p4。第二天上午戰況激烈,各隊都將熬夜研發的攻擊武器施展出來,美國 PPP 不但打出首殺,更追上俄羅斯 LCBC 暫居第二,整個追分過程緊張萬分。
另外,本次賽事更出現一個軟體、三個 0-Day 的精彩現象。Web 出題者 Orange 說明,他出了一題 WEBROP,是以 Opensource 軟體 SugarCRM 為基礎所設計,他曾經因為某些特性挖到該軟體的漏洞,因此做出這題 WEBROP 的設計,是直接用 SugarCRM 真實環境架設,希望拋磚引玉出更多的漏洞利用方法及 0-Day,結果首先 LCBC 率先在這題挖出一個 0day 漏洞,接著 PPP 及 Cykorkinesis 也挖出不同的漏洞,這樣神奇的現象。
根據現場觀察員的觀察,這次比賽不但主辦單位設計即時宇宙戰場動畫顯示即時戰況,每個隊伍還有一個燈箱,結合物聯網開發板控制燈光效果,被攻擊之隊伍之燈箱會亮閃爍紅燈,增加觀眾與隊伍臨場感。而此次題目有深度,涵蓋範圍廣泛,顯現出題者有豐富的比賽經驗,關卡類型包括 Pwnable、Reverse、Web、Forensic、Cryptography、MISC 等領域。參賽選手們必須謹慎細心,發揮臨場機智,才能順利解題、突破各個關卡。
獲勝隊伍簡介
決賽隊伍 | 國家 | 名次 | 簡介 |
Cykorkinesis | 韓國 | 冠軍,獎金10,000美元;直接晉級美國DEF CON 2017決賽。 | 2015 HITCON CTF冠軍。 |
LC↯BC | 俄羅斯 | 亞軍,獎金5,000美元。 | 由一群熱愛研究資安技術與參加CTF比賽的成員所組成。 |
PPP | 美國 | 季軍,獎金2,000美元。 | 由卡內基美隆大學(Carnegie Mellon University) CTF隊伍所組成,成軍超過六年。 |
Dispwnable | 台灣 | HITCON TAIWAN STAR,獎金1,000美元。 | 「教育部 AIS3」冠軍,由不同學校組成。 |