今天好朋友大猫找到了一个挣钱的机会,是爷们都能很容易挣到¥6000块零花钱。
但是我觉得纯爷们应该能挣得更多,比如$90000. 且听我细细到来。
Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、TippingPoint的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。大赛自2007年举办至今,每年三月在加拿大温哥华举办的CanSecWest安全峰会上举行。
对安全研究人员来说,如果能在Pwn2Own上获奖,这象征着其安全研究水平已经达到世界领先的水平。
Pwn2Own上各参赛团队的表现,也代表其国家网络攻防技术的实力。
Pwn2Own 2020刚刚落下帷幕,受新冠病毒疫情的影响,大赛也转到了线上进行。选手们预先将漏洞利用发给赛事主办方,然后在现场直播中与所有参与者一起运行了相关代码。今年的大赢家是由安全研究人员 Amat Cama 和 Richard Zhu 组成的 Fluoroacetate 团队。在为期两天的比赛中,他们累计拿到了 9 个积分,并在四场比赛中将优势保持到了最后。
两天时间里,六支参赛队伍成功地入侵了 Windows、macOS、Ubuntu、Safari、Adobe Reader 和 Oracle VirtualBox 等应用程序和操作系统。期间利用的所有漏洞,均立即向关联企业进行了汇报。
漏洞**方面,乔治亚技术系统软件和安全实验室(SSLab_Gatech)团队在首日率先得分。团队成员 Yong Hwi Jin(@ jinmo123)、Jungwon Lim(@ setuid0x0_)和 Insu Yun(@insu_yun_en)主要利用了 Safari 这个跳板。通过一连串共六个漏洞,将计算器应用弹出到 macOS 上,最终实现了 macOS 内核提权攻击,这让他们夺得 7 万美元奖金和 7 个 Pwn 积分。
第二个是 use-after-free 漏洞利用,Flourescence(Richard Zhu)借此向微软 Windows 操作系统发起了本地提权攻击,夺得 4 万美元奖金和 4 个 Pwn 积分。
第三个漏洞利用是 RedRocket CTF 团队的 Manfred Paul 向 Ubuntu 桌面发起的本地提权攻击,获得 3 万美元奖金和 3个 Pwn 积分。
第四个起攻击利用了 use-after-free 漏洞,Fluoroacetate 团队的 Amat Cama 和 Richard Zhu 借此达成了 Windows 的本地提权,获得 4 万美元奖金和 4 个 Pwn 积分。
第五个漏洞由 STAR Labs 的 Phi Phạm Hồng(@4nhdaden)在次日率先用于攻破 VirtualBox 虚拟机,为其赢得 4 万美元奖金和 4 个 Pwn 积分。
第六个漏洞利用还是 Amat Cama 和 Richard Zhu 联手实现,但这次目标换成了通过 Adobe Reader 达成 Windows 本地提权,获 5 万美元奖金和 5 个 Pwn 积分。
第七个是 Synacktiv 团队的 Corentin Bayet(@OnlyTheDuck)和 Bruno Pujos(@BrunoPujos)的 VMware Workstation 虚拟机漏洞利用,可惜的是未能在规定时间内证明。
过去几年,来自腾讯的Keen Labs和奇虎360的360Vulcan团队几乎统治了挑战赛,赢得了大部分比赛。 但是可能是因为没有对手太寂寞?也可能是这些武器级的技术不适合一直拿出去炫耀?总之自2018年之后中国的战队就不再参加Pwn2Own了。但是好像都去参加了一个国内的天府杯,所以,你懂了。
如果有谁想去试试明年的Pwn2Own,可以参考一下今年的章程,去的时候记得叫上我啊。
Pwn2Own大赛的完整参赛规则请见:
https://www.zerodayinitiative.com/Pwn2OwnVancouver2020Rules.html
识别以下二维码关注公众号