POC，黑客精神的一場回響

本文作者：史中

2016-11-12 08:47

導(dǎo)語：我們佇立日夜山河，等待那一聲“Pwn”。

生命不息，破解不止。

一年一度，黑客們聚集韓國首爾，分享自己對這個世界最新的理解。

這就是 POC。

如果說 POC 黑客大會和其他黑客大會有怎樣的區(qū)別，除了隨處可見的韓國妹子之外，就是會上透露出來的濃濃的“Pwn”的氣息。

POC，黑客精神的一場回響

【正在進(jìn)行比賽的少女黑客】

所謂 Pwn，通俗來說就是利用精準(zhǔn)而珍貴的 0Day 漏洞，直接打穿目標(biāo)系統(tǒng)，讓對方在感受到威脅之前直接死亡。這大概就像武林中的“一招制敵”，就像現(xiàn)代戰(zhàn)爭中的原子彈。

雖說在真實的世界中，“亂拳打死老師傅”這種事情發(fā)生的概率并不低：利用一些陳舊的漏洞和對人性的理解，同樣可以達(dá)到破解的目標(biāo)。但你和我仍迷戀這種“Pwn”的感覺。整個世界在面前瞬間分崩離析，這種場面讓人欲罷不能。

2006年開始創(chuàng)辦的 POC 是韓國歷史最悠久的黑客大會。雖然在世界范圍內(nèi)，相比九十年代初就興起的 DEFCON 和 BlackHat 兩大黑客旗艦，POC 尚不能及。但說到 Pwn 的精神，似乎只有東方人能把這種如如不動，一念菩提的禪宗哲學(xué)表達(dá)得如此通透。

POC，黑客精神的一場回響

講臺上的講者，成為這次聚會的血脈。并不意外，中國人參與了這些血脈的鑄就。從 2009 年開始，就有中國演講者加入了 POC 大會。而七年之后，中國黑客更是集結(jié)成軍，塑造著 POC 的精神內(nèi)核，也同時影響著世界黑客文化。

如下幾位中國黑客，正是“Pwn”的旗手。

越獄先知——盤古團隊

說到禪意，很多人都會想到越獄大神盤古。這支帶有創(chuàng)世浪漫色彩的團隊已經(jīng)成為了全球 iOS 研究最為領(lǐng)先的隊伍，沒有之一。

曾經(jīng)用過盤古越獄工具的人都記得那種感覺，輕輕一點鼠標(biāo)，手機內(nèi)的藩籬就瞬間冰融。讓人感覺到比特級別的暢快淋漓。

而實際上，iOS 的越獄是一套超越大多數(shù)人想象的復(fù)雜流程。盤古團隊創(chuàng)始人韓爭光曾經(jīng)這樣告訴雷鋒網(wǎng)宅客頻道（微信ID：letshome）：

iOS 系統(tǒng)從啟動開始，就有多重防護(hù)機制，包括沙盒、代碼簽名、利用緩解技術(shù)等等。要做到越獄，需要找到繞過各種保護(hù)手段的漏洞來組合一套越獄漏洞。例如：繞過沙盒，代碼執(zhí)行，提權(quán)，信息泄露，代碼簽名等。如果不能組合一套，就算某個類型的漏洞再多也不行。

所以，看似輕盈的越獄進(jìn)度條背后，是代碼的突擊戰(zhàn)。越獄工具兵分?jǐn)?shù)路，繞過沙盒，鎖死安全機制，提升權(quán)限，迫使信息泄露，繞過系統(tǒng)簽名，最終，構(gòu)建起一條隧道，讓用戶可以直達(dá)系統(tǒng)的內(nèi)核。

只不過，這一切都發(fā)生得太快，讓人難以想象在 Pwn 的一瞬間，小小手機中的賽博世界究竟來了幾次翻天覆地，浴火重生。

越獄這個過程本身，就是一次標(biāo)準(zhǔn)的 Pwn。

盤古是世界各大頂級黑客會議，包括 POC 的常客。他們的議題似乎永遠(yuǎn)只有一個，那就是最新的 iOS 系統(tǒng)。

POC，黑客精神的一場回響

【徐昊盤古團隊核心成員】

在本屆 POC 上，盤古團隊核心成員陳小波向雷鋒網(wǎng)透露，他們保有著越獄最新 iOS 10.1.1 的能力。而他們此次的演講題目，正是 iOS9.3.3 的越獄和 iOS 10 上蘋果最新添加的軟件和硬件層面的安全策略。

蘋果在最新的 iPhone 7 上增加了一些硬件防護(hù)措施，例如對于某些敏感的內(nèi)存位置，不再允許進(jìn)行寫操作。而在物理內(nèi)存以外，不再允許執(zhí)行內(nèi)核代碼。不過我們有信心對抗這些新的安全措施。

盤古團隊核心成員徐昊在接受雷鋒網(wǎng)宅客頻道（微信ID：Letshome）采訪時說。

事實上，盤古團隊對于 iOS 以外的 MacOS，甚至 Android 系統(tǒng)，都有很深刻的理解和研究。

在 POC 的 PwnFest 破解大賽上，盤古團隊選擇了向 MacOS 上的 Safari 瀏覽器下手。僅僅通過一條鏈接，他們就成功地入侵了系統(tǒng)內(nèi)核，拿到了執(zhí)行任意代碼的最高權(quán)限。

對于盤古來說，這些只是他們創(chuàng)造的無數(shù) Pwn 中的一個。

虛擬上帝——唐青昊 & Marvel Team

我們依賴數(shù)據(jù)和運算，無法自拔。為此我們創(chuàng)生了無數(shù)虛擬機。這些虛擬機里，可能奔流著全市的銀行交易數(shù)據(jù)，可能保存著政府的絕密信息，可能存儲著大型集團的下季財報。甚至，這些虛擬機可能坐落在同一個大型機房。

作為一個虛擬機，無法感受到其他虛擬機的存在是它的天職，哪怕兩臺虛擬機近在咫尺，哪怕坐落在同一個宿主機之上。

這像極了我們的宇宙。你以為你生存的宇宙，就是這世界的一切。

但唐青昊可以用一串代碼，把你拉入另一個平行宇宙。不僅如此，他還可以站在上帝的位置，俯視所有平行宇宙中的每一個比特。此刻，他的每一次呼吸，都成為這個世界上的風(fēng)暴。

POC，黑客精神的一場回響

【唐青昊】

這，就是虛擬機逃逸。電光火石，日月新天。唐青昊的“超能力”來自他和團隊 Marvel Team 潛心研究的虛擬化漏洞。

而在這屆 POC 上，他也和團隊成員肖偉做了主題演講，議題正是通殺 qemu 和 kvm 兩款虛擬化軟件的致命漏洞——傳送門。

利用這個漏洞，只需要在虛擬機中輕點鼠標(biāo)，一串代碼就會如盜夢空間般層層下潛，直至到達(dá)代碼的最底層“Limbo”。

在那里，每一個比特都成為巨大的樓宇，它們在廣袤的世界里翻滾騰挪。而這串碩大的代碼恰恰被精準(zhǔn)地放置在比特行過的廣場之上。平靜無時，天崩地裂。在代碼的最深處被炸出一個“傳送門”，就是這個“傳送門”，讓唐青昊可以走出虛擬世界的邊界，觸摸到宿主機閃爍著冷焰的外殼。

在本屆 POC 大會的 PwnFest 破解大賽上，他同樣用一組虛擬化漏洞，僅僅輕點鼠標(biāo)，等待20秒，就成功從 VMware 的著名虛擬化軟件 Workstation 中逃逸，在上一層的 Windows 中彈出了象征勝利的計算器。

在他把顯示著計算器的屏幕轉(zhuǎn)向現(xiàn)場觀眾的一瞬間，掌聲雷動，就像虛擬世界碎裂的余音。

洲際核彈——MJ0011& Vulcan Team

核導(dǎo)彈發(fā)射井從來都隱匿于深山之中，無人知曉。但是，喚醒這頭野獸只需要一個按鈕。在它飛向目標(biāo)的一瞬間，一切都已成定局。

MJ0011 和他的 Vulcan Team 玩的“Pwn”大抵屬于這樣的類型。

POC，黑客精神的一場回響

【MJ0011 在POC 現(xiàn)場】

在黑客界聲名顯赫的 MJ0011，被昵稱為MJ，曾經(jīng)帶領(lǐng)團隊找到無數(shù) Windows、Edge、Flash 的漏洞。利用這些漏洞，他們可以用一條鏈接，直接奪取對方系統(tǒng)的最高權(quán)限。

我喜歡這種“Pwn”的感覺，在今年的 Pwn2Own 上，我?guī)缀鮾商鞗]睡，所有的準(zhǔn)備都是為了攻擊時刻的幾秒鐘。而在攻擊成功的那一刻，我覺得無比暢快。雖然在完成比賽之后大病一場，但是那種攻破的感覺還是非常爽的。

MJ 曾這樣對雷鋒網(wǎng)說。

在今年 POC 舉辦的 PwnFest 上，他又帶隊上演了一場完美的“核爆炸”。

這次，他們的目標(biāo)是攻破微軟 Edge 瀏覽器，然后進(jìn)一步跳出安全保護(hù)機制——沙箱，奪取 Windows 任意代碼執(zhí)行權(quán)限。

在比賽現(xiàn)場，評委通過 Edge 輸入了 Vulcan Team 提供的一條網(wǎng)址，攻擊代碼就如導(dǎo)彈一般隨著訪問請求回連向了目標(biāo)電腦。

表面看來，評委手中的 Surface 電腦平靜如秋水，而在芯片之下，號稱最安全的 Edge 瀏覽器正在解析一段特別的指令。這道指令在 Edge 最為薄弱的漏洞面前轟然爆炸，釋放出更為精巧的核彈，這枚代碼核彈在 MJ 早就預(yù)先設(shè)定好的外層沙箱漏洞處轟然爆炸。黑客在這一頭，已經(jīng)可以透過兩只巨大的彈洞，直達(dá) Windows 的核心。一切都發(fā)生得迅雷不及掩耳，Windows 在沒有任何“知覺”的情況下，根據(jù)黑客設(shè)定好的代碼，彈出了記事本程序。

而在 POC 的主題演講中，MJ 和團隊成員古河詳細(xì)講述了他們一年來和 Edge 沙箱戰(zhàn)斗的過程。對于 MJ 來說，Pwn 正是一種極簡主義的藝術(shù)，而他們在演講中，第一次公開了一種可以通吃所有類型沙箱的極簡攻擊方法。鑒于這種思路殺傷力過大，MJ 希望它保留在可控制的小范圍內(nèi)，只有現(xiàn)場的觀眾有幸聆聽這招“絕殺技”。

POC，黑客精神的一場回響