大片既视感,Pwn2Own 2018黑客大赛两日战况

2018 年 3 月 16 日 雷锋网 又田

文 | 又田

来自雷锋网(leiphone-sz)的报道

Pwn2own 开始之前,雷锋网编辑就有预感,关于“某黑客在X秒钟之内破解XXX”的报道一定会蜂拥而至,果不其然。从主办方放出的战况视频看来,战况相当精彩,满满的大片既视感。

3月15-16日,2018 Pwn2Own 比赛落下帷幕,截至目前,主办方 Zero Day Initiative 已经为获奖者提供了金额为 267,000 美元的奖金 和 26 点数奖励,获得 5 个苹果漏洞、2 个 Oracle 漏洞、4 个微软漏洞以及1个 Mozilla 漏洞。

首位登台的选手是 Richard Zhu,但开局不利,他并未在规定时间内利用漏洞攻破 Safari 浏览器。不过在Pwn2Own的舞台最不缺乏的便是意外与反转,Richard Zhu在随后的挑战赛中对微软 Edge 浏览器发起挑战,利用微软内核 EoP 通过两个 UAF 成功提权并运行执行代码,获得了70000美元奖励及7个Pwn点数。而在第二天的挑战赛中,Richard Zhu愈战愈勇,利用 Windows 内核的 EoP 漏洞成功攻破 Mozilla Firefox 浏览器,赢得50000美元奖励以及5个Pwn点数。

接下来登台的是来自 phoenhex 团队的 Niklas Baumstark,针对 Oracle VirtualBox发起攻击,最终成功利用了部分漏洞,获得了 27000 美元奖励和3个Pwn点数。

首日最后挑战的是Samuel Groß,他成功利用 macOS 内核 Eop 漏洞对 Apple Safari 浏览器进行破解,赢得了 65,000 美元的奖励和6个Pwn点数。

在第二天的比赛中,来自 Ret2 Systems 公司的三位研究员 Markus Gaasedele、Nick Burnett 和 Patrick Biernat 登台演示,他们利用 macOS 内核提升特权漏洞来攻击 Safari。不过在演示中途出现了一些意外,直到第四次尝试才真正利用漏洞实现破解,按照比赛规则只允许三次尝试,所以这算作失败。

另一支破解团队来自 MWR 实验室,三位研究员 Alex Plaskett、Georgi Geshev 和 Fabi Beterke 上台演示,通过两个漏洞击破了 Safari 浏览器的沙盒模式,一个是浏览器中的堆缓冲区溢出漏洞,另一个是 macOS 的未初始化的堆栈变量漏洞。他们获得了55000美元及5个Pwn点数。

为期两天的 Pwn2own 既有破解成功的骄傲欣喜,也有破解失败的遗憾感叹。以下为 Pwn2Own 2018 大赛最终排名,Richard Zhu在两天比赛中赢得12万美元奖金以及12个Pwn点数获得破解之王。

- END -


名师授课,带你跑步入门区块链




AI慕课学院携手ChainVC推出重磅课程「区块链研修班」,从理论到实践课程内容全覆盖,系统化、高强度授课,从入门到专业只需两天,马上秒杀95%的币圈韭菜。戳阅读原文查看详情。

登录查看更多
0

相关内容

黑客(Hacker,台湾译作「骇客」)广义上指在计算机科学,编程以及设计领域有高度理解力的人。 然而,人们通常对黑客一词的理解都是取其狭义的涵义,即信息安全领域的黑客: 未经许可入侵他人系统并窃取数据信息等的可以视为 黑帽黑客,也可取侩客 cracker 的涵义。
而主要从事安全检测,系统调试,技术研究的安全从业者可称为 白帽黑客
还有一种存在称为「脚本小子」,往往冒充黑客也常被人误认为是「黑客」,其实是利用一些现有的工具或者程序达到入侵或破解等目的,然而其知识储备以及对技术的理解力却完全不符合广义黑客的标准,甚至不及狭义黑客标准。
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【2020新书】使用高级C# 提升你的编程技能,412页pdf
专知会员服务
57+阅读 · 2020年6月26日
Python计算导论,560页pdf,Introduction to Computing Using Python
专知会员服务
73+阅读 · 2020年5月5日
【哈佛《CS50 Python人工智能入门》课程 (2020)】
专知会员服务
111+阅读 · 2020年4月12日
算法与数据结构Python,369页pdf
专知会员服务
162+阅读 · 2020年3月4日
【2020新书】数据科学:十大Python项目,247页pdf
专知会员服务
213+阅读 · 2020年2月21日
【电子书】Flutter实战305页PDF免费下载
专知会员服务
22+阅读 · 2019年11月7日
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
FlyAI算法竞赛:百万现金奖励实时瓜分
AINLP
5+阅读 · 2019年4月1日
AI换脸朱茵变杨幂,技术背后细思极恐
大数据技术
7+阅读 · 2019年3月1日
机器学习预测世界杯:巴西夺冠
新智元
5+阅读 · 2018年6月11日
教你用Python来玩跳一跳
七月在线实验室
6+阅读 · 2018年1月2日
机器学习没有想象中的那么难
待字闺中
4+阅读 · 2017年9月14日
“黑”掉自动驾驶汽车,只要给路标涂个大花脸
你见过马化腾17年前写的代码吗?
互联网it观察
5+阅读 · 2017年7月3日
Visualizing and Measuring the Geometry of BERT
Arxiv
7+阅读 · 2019年10月28日
Precise Detection in Densely Packed Scenes
Arxiv
3+阅读 · 2019年4月8日
q-Space Novelty Detection with Variational Autoencoders
Learning to Importance Sample in Primary Sample Space
Arxiv
3+阅读 · 2018年5月21日
VIP会员
相关资讯
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
FlyAI算法竞赛:百万现金奖励实时瓜分
AINLP
5+阅读 · 2019年4月1日
AI换脸朱茵变杨幂,技术背后细思极恐
大数据技术
7+阅读 · 2019年3月1日
机器学习预测世界杯:巴西夺冠
新智元
5+阅读 · 2018年6月11日
教你用Python来玩跳一跳
七月在线实验室
6+阅读 · 2018年1月2日
机器学习没有想象中的那么难
待字闺中
4+阅读 · 2017年9月14日
“黑”掉自动驾驶汽车,只要给路标涂个大花脸
你见过马化腾17年前写的代码吗?
互联网it观察
5+阅读 · 2017年7月3日
Top
微信扫码咨询专知VIP会员