這不是一個順風(fēng)順?biāo)膴Z冠故事。

甚至，騰訊科恩在移動 Pwn2Own 上參賽的第一個項目就遭失利，第一天賽事還未結(jié)束，宅客頻道見到的報道中，就有其第一個項目“失敗”和競爭對手“獲勝”的慘烈對比照。

但賽況跌宕起伏，峰回路轉(zhuǎn)。

在移動 Pwn2Own 上，騰訊安全科恩戰(zhàn)隊“出師不利”，但扭轉(zhuǎn)態(tài)勢，拿下了總積分 44 分，獲得了總冠軍 “Master of Pwn（世界破解大師）”的稱號。

在這場戰(zhàn)役中，這群黑客實現(xiàn)了蘋果 iOS 11.1 最新操作系統(tǒng)下 WiFi 和Safari 瀏覽器的破解，并完成手機重啟后仍然保持攻破以及提取內(nèi)核權(quán)限等高級別破解操作，獲得賽事主辦方的額外獎勵。此外，科恩戰(zhàn)隊還選擇挑戰(zhàn)了本屆賽事公認(rèn)最難單項，利用堆棧溢出攻破基帶。

通向冠軍的道路上充滿荊棘，童話故事真的不是騙人的。

故事一：賽前一天破解工具“狗帶”，又遭遇手機休眠  24  小時

9月1日，隊長陳良接到了 主辦方 ZDI 發(fā)來的破解賽題，今年的破解花樣真多：不再是單純通過瀏覽器、短信、彩信等奪取手機系統(tǒng)的控制權(quán)，而是更強調(diào)芯片級的控制。因此，本次比賽出現(xiàn)了一個新項目：攻破機器的基帶。

這樣的攻擊方式有個好處：更隱蔽，用戶的感知更小，不像以前，黑客要“誘使”用戶點擊瀏覽器，或掃一個二維碼，才能奪得機器的系統(tǒng)權(quán)限?！笆铝朔饕氯?，深藏功與名”，這樣的攻擊無聲無息。

留給選手的準(zhǔn)備時間只有兩個月，要從最新的系統(tǒng)上找出連廠商都找不出漏洞，想到利用方式，還要尋找合適的設(shè)備，保證破解成功率。

橫掃世界頂級 CTF 大賽的隊員謝天憶被抽調(diào)參加基帶破解項目。隔行如隔山，挑戰(zhàn)不同的研究項目……呃，怎么著也隔了一堵墻吧。

謝介紹，攻破基帶小組（以下簡稱“基組”）以前沒破解過基帶，想著要不拆開基帶看一下結(jié)構(gòu)，再圖大計。賽前一個星期，基組終于找到了稱手的測試裝備，開心地開始拆基帶，搞清楚原理、漏洞和利用方法，測試成功了一次后，以為大功告成，只待去日本打比賽。突然，在賽前兩天發(fā)現(xiàn)測試裝備被搞壞了。

凌晨 3 點發(fā)現(xiàn)裝備已毀的基組的劉穆清吃了一驚，和另外兩名隊員一起，乘坐了當(dāng)天早上 6 點從上海飛往深圳的航班，火急火燎地趕到深圳重新買了一臺測試裝備。

“時間非常緊，其實當(dāng)時我們最后的代碼還沒有完全整合完，剛把設(shè)備這個地方弄好，又花了很多時間去調(diào)試我們攻擊代碼，最后大概是在比賽前一個到兩個小時才把代碼跑通，再測試成功了一次。”劉穆清說。

萬萬沒想到，僅在成功測試一次后，手機就出來搗亂了，新測之后的手機啟動了防盜機制，機主站在面都都解不開，24小時內(nèi)不能清空數(shù)據(jù)。當(dāng)時基組只有一臺同款比賽項目版本的手機，這意味著，接下來沒法用這臺手機繼續(xù)測試了。

“但從跑通的情況看，我們的成功率應(yīng)該能保證是100%?！标惲颊f，雖然因為工具失利無法繼續(xù)測試，捏了一把汗，但是他們成功在比賽現(xiàn)場拿下了這個基帶破解的“一血”（該項目第一個破解成功）。

 故事二：蘋果在凌晨發(fā)布新版本“補洞”，選手間還有“撞洞”

了解 PWN  類型黑客比賽的人都知道，主辦方在比賽時一定會下載最新的系統(tǒng)版本，供參賽選手破解。但參賽選手賽前準(zhǔn)備的漏洞、利用方式是既定的，這意味著，一旦手機廠商在比賽前發(fā)布了最新系統(tǒng)版本，“不小心”堵上了選手發(fā)現(xiàn)的漏洞，那么“功虧一簣”。

手機廠商和選手之間從來不乏這種“貓捉老鼠”的游戲，有些手機廠商甚至?xí)室獯騻€措手不及——在比賽開始前幾個小時發(fā)布新版本。

“在比賽前期，寫應(yīng)用的同學(xué)比較辛苦，因為經(jīng)常會出現(xiàn)版本更新，如果在當(dāng)天上午出現(xiàn)大版本的更新，會造成我們很多利用的細節(jié)和漏洞方面出現(xiàn)問題，需要大家一塊通宵去完善這個整個方案?！眎OS 項目成員、科恩研究員梁偉說。

在這次比賽中，四家手機廠商都做了“類似”的更新。其他廠商提前兩三天，或者一個星期進行了更新，蘋果做得比較絕，在比賽當(dāng)天早上更新了11.1。

iOS 項目成員傅裕斌對雷鋒網(wǎng)宅客頻道表示：當(dāng)時時間非常緊。比賽前幾天我們有一套方案，但不是特別穩(wěn)定，那時我們在11.0.2上完成了90%，我們預(yù)估，比賽前一天蘋果會放11.1，結(jié)果那天晚上蘋果沒有放11.1，我們一直等到凌晨兩點，因為蘋果沒有放11.1，穩(wěn)妥起見，我們下載了11.0.3，也就是當(dāng)時的最新版。”

傅裕斌評估了一下，發(fā)現(xiàn)系統(tǒng)版本從0.2到0.3，變化不是特別大，可能在一個小時之內(nèi)就能在最新版本上成功應(yīng)用，當(dāng)時他心情不錯。

結(jié)果在比賽當(dāng)天凌晨，蘋果放11.1，進行了大版本更新。當(dāng)時科恩團隊光在蘋果手機上，就有兩個項目要打，一個是瀏覽器，一個是Wi-Fi，要把兩套移到最新版上，時間已經(jīng)不多了。

還好，他們在事前準(zhǔn)備了四套漏洞及利用方式并在短暫的時間內(nèi)針對新版本更新，所以蘋果的更新對其影響不大。

但另一個“策略”來了。

比賽一共有五個隊伍、五個項目和iOS相關(guān)，一旦抽簽順序不佳，科恩戰(zhàn)隊被安排在最后兩個，那么前面的隊伍如果使用的漏洞與科恩相同且破解成功，那么科恩即使最后也破解成功，“撞洞”會讓他們直接失敗。

對手之間也在這樣“對抗”，利用比賽順序和規(guī)則，盡量壓低對手分?jǐn)?shù)。

“如果我們抽簽在前，我們就要花一些時間想，用什么漏洞可以把后面選手的漏洞給撞掉，壓低他們的分?jǐn)?shù)，這也是保證我們可以拿到冠軍的策略?！标惲颊f。

結(jié)果，他們真的把對手 Wi-Fi方案中非常關(guān)鍵的一個漏洞給撞掉了，導(dǎo)致對手被扣了兩分。

傅裕斌表示，幾乎所有選手在賽前都會剖析對手，預(yù)估對方用的是什么偏門的漏洞，從而準(zhǔn)備很多方案。由于主辦方不會提前告知前面選手的漏洞情況，只會在其官方推特上發(fā)布一些推文，因此后面的選手還要根據(jù)蛛絲馬跡推測對手此前用了什么漏洞，避免自己“撞洞”。

故事三：抽簽順序是把“雙刃劍”

有心人會發(fā)現(xiàn)，獲得比賽冠軍的騰訊科恩戰(zhàn)隊其實在比賽第一天第一場破解項目——三星Galaxy S8瀏覽器時遭遇失利。

難道是“馬前失蹄”？

故事要從主辦方配置最新版本和蘋果、安卓的“不同”說起。

陳良介紹，蘋果官方網(wǎng)站更新了后，會告訴你11.1已經(jīng)下發(fā)，地球上所有用戶可以在同一時間拿到11.1，但是安卓不是，如果發(fā)布了一個新版本，會優(yōu)先選出10% 的全球性用戶拿到這個更新，其他用戶需要等待一到兩個星期，或者兩到三個星期。

比賽項目針對的手機廠商谷歌和三星會在比賽前幾天臨時發(fā)一個更新，但不能確保這個更新一定到了主辦方的手機。比賽當(dāng)天雖然要求是最新版本，但科恩戰(zhàn)隊突然發(fā)現(xiàn)，比賽用的三星手機上不是最新版本，主辦方還沒拿到最新版本，但科恩在準(zhǔn)備時用的卻是最新版本。

雖然不是新版本，但可以主動下載新的，但這一次，科恩卻吃了抽簽排在前面的虧。

“等抽簽下來，到環(huán)境搭建只有半個小時，我們第一個上，讓它下載的過程里，只有一刻鐘，但他們出現(xiàn)了失誤，下錯了一個版本，到比賽時我們要求主辦方調(diào)整，已經(jīng)沒有時間了，比賽開始了就不行?！标惲紝卒h網(wǎng)宅客頻道說。

馮震進一步解釋了“配置錯誤”：“谷歌下發(fā)的安卓有兩個版本、四個文件，你可以認(rèn)為是A1、B1、A2、B2，本來A1和B1是一套，A2和B2是一套，結(jié)果他們給我們安裝的是 A1 加 B2 ?！?/p>

陳良認(rèn)為，理論上也不影響后續(xù)的所有選手，因為之后的選手在每一場比賽之前，都有一個半小時的休息時間，在這段時間里，通過充分的溝通就可以把這個版本調(diào)整過來。所以，抽簽順序是一把雙刃劍，如果抽簽抽在前，準(zhǔn)備時間不足和配置環(huán)境溝通可能造成問題。

［來到采訪現(xiàn)場的科恩戰(zhàn)隊隊員：傅裕斌、梁偉、謝天憶、陳良、Marco、劉穆清、馮震］

看到這張照片你可能會吃驚：圖中的Marco是做什么研究的？

事實上，Marco是一位來自意大利的科恩實驗室的研究員，他是上述基帶漏洞的發(fā)現(xiàn)者。

Marco 告訴雷鋒網(wǎng)，本來他在意大利好好做著研究，有一天，在YouTube上看到了陳良的一則演講視頻，深受感動，受到“內(nèi)心的感召”，一心想加入這個團隊，于是小伙子直接聯(lián)系了某次大會上認(rèn)識的科恩實驗室成員，與陳良建立了聯(lián)系。

科恩安排 Marco 在中國玩了一天，雙方聊得實在很愉快，于是 Marco 就留在了科恩實驗室。

編者手記

動筆前，一位同行問我，這次比賽好像沒什么新鮮點：你看，都是補洞、撞洞、掉鏈子什么的，每次比賽不都這樣嗎？

其實，在與科恩的對話中，他們曾回答比賽之于自己的意義——

陳良：一年沒有幾次這樣的漏洞可以破解，你在探索一個未知世界，當(dāng)一個完全不可控的東西變得逐漸可控，最后這個東西被你遠程攻破，我很享受這樣一種體驗。

傅裕斌：我覺得主要是興趣。對這個東西挺感興趣的，這是從一個什么都沒有到最終能夠在舞臺上呈現(xiàn)出一個非常好的效果的過程，研究整套攻擊的流程是一個非常美好的事情。

梁偉：通過打比賽，我學(xué)到了很多東西，在整個過程中看到他們一次又一次創(chuàng)造了很多奇跡，我們也會通過努力實現(xiàn)目標(biāo)，增強自己的信心?，F(xiàn)在在做很多事的時都會想，這么難的事我們都做到了，現(xiàn)在的事情也不算什么。

謝天憶：打比賽會學(xué)到很多東西，最后這個東西能不能打成，還是有一些運氣在里面，通過研究這個東西，總歸能學(xué)到新的東西，特別當(dāng)你涉足一個未知領(lǐng)域，比賽可能會強制驅(qū)動你去學(xué)習(xí)，這些東西可能是平時自己想學(xué)，但覺得非常痛苦的東西。

馮震：我剛來科恩實驗室第一年時，沒有參加這種比賽。但是，我們都會轉(zhuǎn)發(fā)一些朋友圈消息。當(dāng)時我轉(zhuǎn)發(fā)之后，吳老板（指科恩實驗室負責(zé)人吳石）在我朋友圈點了個贊，而且對我說——我看好你，那時吳老板直接把我調(diào)到了別的組研究瀏覽器。我當(dāng)時想，我一定要搞成，不要讓老板失望。在某種程度上，吳老板像我的師傅一樣，第一次比賽特別緊張，特別害怕撞洞，吳老板告訴我，你不要緊張，就算你成功了，你也只是運氣好而已，但既使是失敗了，你覺得你明年還會再失敗嗎？我運氣比較好，第一年就成功了。時間久了，現(xiàn)在我更把比賽當(dāng)成是一個大家享受、團結(jié)合作的樂趣，沒有人喜歡失敗，但是大家更看重的是團隊的成功，在這種氛圍下，已經(jīng)超越了個人利益，大家一起努力，才能獲得最好的成功。

我想，上述三個故事就是這些感想的承載。只有真的熱愛與拼盡全力，才會去挽救賽前“失控”的工具，才會在外界環(huán)境不如人意時爭分奪秒，面對對手時絞盡腦汁要贏。

他們的對手，從來都是自己，他們要超越的，也是每一次的自己。

這樣的故事，我從來不嫌多，你呢？

想了解更多網(wǎng)絡(luò)安全內(nèi)容？歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號：宅客頻道（letshome）。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。