有人曾將頂尖黑客分為兩種：

一種是奔馳在真實(shí)路況的“城市賽車(chē)手”。他們的賽場(chǎng)是如真實(shí)的城市路況一樣復(fù)雜的 Windows、MacOS、Safari、Chrome 等平臺(tái)軟件。

一種是喜歡封閉賽道的“賽場(chǎng)賽車(chē)手”。他們的賽場(chǎng)是經(jīng)過(guò)精心構(gòu)建的代碼世界，是一次次解謎的智力盛宴—— CTF 大賽。

然而無(wú)論哪一種，他們展示在世人面前的大多只有華麗的技術(shù)以及看似不可思議的結(jié)果：

• 10 秒破解 Edge 瀏覽器

• 5 秒破解蘋(píng)果系統(tǒng)

• 3 秒攻破 Flash 播放器 

臺(tái)上十分鐘，臺(tái)下十年功，這話(huà)在任何行業(yè)都行得通，但在安全領(lǐng)域變得尤其夸張，十分鐘變成了5秒、3秒，甚至更短。這背后究竟發(fā)生了什么臺(tái)前幕后的事情？此次騰訊安全科恩實(shí)驗(yàn)室的謝天憶和他的小伙伴阿左向雷鋒網(wǎng)分享了一些黑客競(jìng)賽背后的故事。

回顧：賽前驚慌36 小時(shí)

一

他叫阿左，此時(shí)正在加拿大的一家酒店里睡著大覺(jué)，睡前他告訴自己：

不出意外，兩天之后我將站在全球頂尖的黑客大賽 Pwn2Own 上，成功破解鼎鼎大名的虛擬機(jī)系統(tǒng) VMware ，想想都有些小激動(dòng)……

事實(shí)證明，不要隨便立 Flag，哪怕只是對(duì)自己說(shuō)。

“快起來(lái)，出事了！”  一道晴天霹靂把他從睡夢(mèng)中打醒：“你利用的那個(gè)VMware 漏洞，被廠商修補(bǔ)了！” 此時(shí)凌晨四點(diǎn)多，聽(tīng)到漏洞被修補(bǔ)的消息，阿左還是驚出了冷汗了，頓時(shí)睡意全無(wú)。

廠商就是這樣，一言不合就修復(fù)幾個(gè)漏洞，而且偏偏選在破解大賽前兩天，讓參賽選手猝不及防。

賽前的一兩天漏洞被修補(bǔ)，這種事情在黑客破解大賽上并不少見(jiàn)。但阿左第一次現(xiàn)場(chǎng)參加 Pwn2Own 這樣世界頂尖的大賽，就撞上了這種情況，他還是有些手足無(wú)措。

這個(gè)消息對(duì)他來(lái)說(shuō)，意味著自己和隊(duì)友們幾個(gè)月的努力成果在那一刻就付之一炬，本該有榮譽(yù)、獎(jiǎng)金泡湯，一次本該是證明自我的旅途變成一次單純的公費(fèi)出國(guó)旅游，這讓他難以接受。

二

幾個(gè)月前，阿左還不太了解如何破解 VMware 虛擬機(jī)，但實(shí)驗(yàn)室依然決定把破解 VMware 的部分任務(wù)交給他，說(shuō)是讓年輕人多鍛煉鍛煉。只要他能完成破解，就能帶著自己的成果去參加 Pwn2Own 。

作為資歷并不深的安全研究員，阿左非常珍惜這次去參加這樣世界頂級(jí)的黑客破解大賽的機(jī)會(huì)。

“絕望也沒(méi)什么用，總得試一試的，萬(wàn)一成功了呢？”  在被告知漏洞被修補(bǔ)后的一分鐘內(nèi)，他就決定和隊(duì)友一起想辦法再找一套破解方法。

阿左擅長(zhǎng)打 CTF 比賽  —— 在規(guī)定的24小時(shí)或48小時(shí)內(nèi)，利用自己的黑客技巧攻破主辦方構(gòu)建的諸多難題，從而取得相應(yīng)分?jǐn)?shù)。在隊(duì)友的眼中，阿左是打雞血一樣的存在，有時(shí)比賽打到興起，他甚至48小時(shí)不睡覺(jué)，而且依然保持頭腦興奮。

Pwn2Own 這類(lèi)黑客破解大賽和 CTF 比賽并不一樣，Pwn2Own 大賽不出題，而是讓參賽選手自己對(duì)目標(biāo)系統(tǒng)，比如 Edge、Chrome 瀏覽器進(jìn)行充分的研究，找到可以利用的 0Day 漏洞（廠商未知的漏洞），提前制作做好演示程序，最后到場(chǎng)上演示一遍。

如今對(duì)阿左來(lái)說(shuō)，擺在他們面前的是一道非常難的 CTF 題：36小時(shí)之內(nèi)，重新找到 VMware 的其他漏洞，并且完成從漏洞挖掘到利用，最后編寫(xiě)出演示程序的整個(gè)過(guò)程。

顯然，一個(gè)獎(jiǎng)金10萬(wàn)美元的破解方式并不那么容易實(shí)現(xiàn)，要在36小時(shí)內(nèi)完成，看起來(lái)更加不可能。

三

天還沒(méi)亮，科恩實(shí)驗(yàn)室和騰訊電腦管家的所有參賽隊(duì)員都已經(jīng)聚在一間屋子。他們趕緊聯(lián)系上了國(guó)內(nèi)后援的同事，一起討論如何在短時(shí)間內(nèi)再找到一套破解方法。加拿大和中國(guó)有15小時(shí)左右的時(shí)差，但此時(shí)所有人都顧不上白天黑夜。

一番研究過(guò)后，他們發(fā)現(xiàn)了新的機(jī)會(huì)，但36小時(shí)實(shí)在緊迫，于是趕緊按照以往的經(jīng)驗(yàn)，將任務(wù)分成四部分，兩名隊(duì)員負(fù)責(zé) VMware 的兩個(gè)漏洞，一名隊(duì)員負(fù)責(zé) Windows 內(nèi)核漏洞，寫(xiě)完漏洞利用程序之后再統(tǒng)一交給其他隊(duì)員來(lái)組合成一套完整的破解程序。

“分好工之后幾乎就進(jìn)入忘我的狀態(tài)了，完全分不清白天黑夜，實(shí)在盯著屏幕久了才抬頭看看?！?回憶當(dāng)時(shí)情況，阿左已經(jīng)記不清當(dāng)時(shí)外面發(fā)生了什么。他腦子里只知道所有人都在為這最后的機(jī)會(huì)而努力，任何一個(gè)環(huán)節(jié)的小小失誤或者時(shí)間延誤都可能會(huì)導(dǎo)致破解項(xiàng)目失敗。

當(dāng)阿左頂著巨大的壓力完成自己手頭那部分漏洞利用，交到隊(duì)友手中時(shí)，這個(gè)被稱(chēng)為“精力旺盛”的年輕人也實(shí)在受不了，倒頭便睡著了。

3月17日中午12點(diǎn)，一張破解成功后的合影傳回國(guó)內(nèi)，成功的笑容掩蓋了隊(duì)員眼中疲憊的神情，因?yàn)檫@一切付出都是值得的。

第二天，阿左曬了一條朋友圈：

4天被補(bǔ)了7套利用，48小時(shí)、100% exploit (有效利用）的逃逸漏洞，這就是團(tuán)隊(duì)的力量！I love KeenLab （騰訊安全科恩實(shí)驗(yàn)室）

他告訴雷鋒網(wǎng)，其實(shí)在那幾天里，其他幾個(gè)破解項(xiàng)目也遇到過(guò)類(lèi)似漏洞被修補(bǔ)的問(wèn)題，但所有人頂著巨大的壓力，冷靜地分工合作，努力解決問(wèn)題。雖然有的最后成功了，也有失敗了。但在這個(gè)過(guò)程中大家共同分擔(dān)和努力已經(jīng)讓他深受感動(dòng)，這是理想當(dāng)中的技術(shù)團(tuán)隊(duì)該有的，也是他愛(ài)這個(gè)團(tuán)隊(duì)的原因。

訪談· 黑客競(jìng)技CTF 那些事

雷鋒網(wǎng)宅客：你覺(jué)得以往打CTF 比賽的經(jīng)驗(yàn)對(duì)那次 Pwn2Own 的緊急響應(yīng)經(jīng)歷有幫助嗎？

阿左：有的，CTF 比賽除了可以幫助提升技術(shù)水平之外，也涉及到很多的參賽技巧。如果經(jīng)常參加 CTF比賽的話(huà)，寫(xiě) exploit（漏洞利用程序）的能力會(huì)有所增強(qiáng)，速度變得更快。思考問(wèn)題的時(shí)候，思路也更開(kāi)闊一些。另外兩種比賽都涉及到分工合作的問(wèn)題，這一點(diǎn)非常重要。 

雷鋒網(wǎng)宅客：打 CTF 競(jìng)賽的門(mén)檻高嗎？你當(dāng)時(shí)是怎么入坑的？

阿左：有些門(mén)檻，但是這并不會(huì)成為什么問(wèn)題。我是14年底，上大學(xué)的時(shí)候第一次接觸 CTF，在此之前，我其實(shí)一直在做單機(jī)游戲的破解和漢化。 剛開(kāi)始當(dāng)然菜到不行，到什么程度呢？Linux 系統(tǒng)不會(huì)用，最基本的 ls 參數(shù)、拷貝、移動(dòng)什么的都不會(huì)寫(xiě)。因?yàn)橹耙恢笔怯玫?Windows系統(tǒng)。

做技術(shù)的很多都這樣，碰到問(wèn)題就學(xué)，CTF 比賽還是能接觸到很多東西的，遇到一個(gè)我就去學(xué)怎么用，然后再去實(shí)踐，在不斷地打 CTF 比賽的過(guò)程中我也發(fā)現(xiàn)大多數(shù)情況下還是要以實(shí)踐為主。 很多技術(shù)看了文章覺(jué)得自己懂了，但真正利用起來(lái)的時(shí)候還是不會(huì)。安全技術(shù)說(shuō)起來(lái)其實(shí)也就是用進(jìn)廢退的。

雷鋒網(wǎng)宅客：CTF 比賽的題目的應(yīng)用性如何？

天憶：現(xiàn)在的 CTF 題目大多還是非常接地氣的，比如一個(gè)題目可能就是從一些技術(shù)模型中抽象出來(lái)的，因此經(jīng)?？梢栽谝恍?CTF 題目里看到經(jīng)典漏洞的影子。好的題目還會(huì)契合目前最前沿的黑客技術(shù)和新的學(xué)術(shù)研究成果。所以完全不用擔(dān)心應(yīng)用性不強(qiáng)。作為安全研究人員，我們還可以從 CTF 的題目里找到靈感，發(fā)現(xiàn)一些以前沒(méi)有發(fā)現(xiàn)的東西，反過(guò)來(lái)啟發(fā)我們的實(shí)際研究。

透露一個(gè)小秘密，騰訊安全科恩實(shí)驗(yàn)室最近新招進(jìn)來(lái)的同學(xué)，基本上多少有些 CTF 的背景，我自己也覺(jué)得參加CTF比賽經(jīng)歷是可以體現(xiàn)出很多方面能力的。

雷鋒網(wǎng)宅客：CTF 比賽進(jìn)入國(guó)內(nèi)的時(shí)間并不算太長(zhǎng)，這幾年國(guó)內(nèi) CTF 環(huán)境有什么變化嗎？

天憶：最明顯的變化就是難度越來(lái)越難了，早些年的CTF競(jìng)賽題和現(xiàn)在的根本沒(méi)法比。就以三年前來(lái)說(shuō)，2014年我覺(jué)得最難的題目，放在如今也就相當(dāng)于入門(mén)級(jí)的難度；其次是隊(duì)伍越來(lái)越多了，CTF 剛被引入國(guó)內(nèi)時(shí)比賽是少之又少，隊(duì)伍也不多，厲害的更少，如今人數(shù)多了很多，算是遍地開(kāi)花了，涌現(xiàn)了不少在國(guó)際上。高校里面的 CTF 氛圍也越來(lái)越濃了；另外國(guó)內(nèi)的比賽也越來(lái)越多了，而且質(zhì)量也很高，意在向DEFCON這樣的國(guó)際大賽看齊。

前不久騰訊就成立了一個(gè)新的 CTF 比賽——TCTF，本人在其中擔(dān)任技術(shù)負(fù)責(zé)人，也是朝著國(guó)際化大型 CTF 競(jìng)賽來(lái)做的，畢竟只有一個(gè)一流的比賽和平臺(tái)才能夠吸引和塑造一流的人才。

雷鋒網(wǎng)宅客：我們注意到這次騰訊主辦的 TCTF 只有解題模式而沒(méi)有攻防模式，是出于什么考慮？

天憶：這兩種模式，其實(shí)是”快“和“難”的關(guān)系。在 CTF 比賽中，解題模式和攻防模式側(cè)重點(diǎn)有差別的，攻防模式更看重攻防效率，講究快速攻擊得分，所以攻防模式上不太會(huì)采用一些特別難的題目。尤其在國(guó)內(nèi)，攻防模式因?yàn)樾蕾p性更高，有一些“泛濫”，甚至有種被玩壞了的感覺(jué)。優(yōu)勢(shì)第一名的分?jǐn)?shù)是第二名的兩倍，其實(shí)他們的水平并沒(méi)有相差那么多，也許只是第一名“手速更快”而已。

解題模式則朝著越來(lái)越專(zhuān)業(yè)、技術(shù)難度更高的方向發(fā)展，更貼近前沿技術(shù)。比如二進(jìn)制漏洞利用上，“快”是起不了什么作用的，更需要高難度的漏洞挖掘能力。

就目前而言，TCTF 面向國(guó)內(nèi)高校大學(xué)生，很大程度上承擔(dān)著發(fā)掘安全人才的使命，從這一角度上來(lái)看，解題模式是更合適的，這是一個(gè)考量。只保留解題模式，這并不是我們首創(chuàng)的，現(xiàn)在很多知名比賽也有這么做的先例，這次 TCTF 的題目是是往高難度的方向去，基本是朝著 DEFCON 的難度來(lái)看齊的。

雷鋒網(wǎng)宅客：據(jù)說(shuō)這次 TCTF 的優(yōu)秀隊(duì)伍除了獎(jiǎng)金之外還有別的福利？

天憶：對(duì)的，冠軍可以獲得 DEFCON CTF大賽的直通卡。然后這次騰訊推了“百人計(jì)劃”，除了豐厚的獎(jiǎng)金之外，還可以通過(guò)全明星導(dǎo)師團(tuán)為他們提供專(zhuān)業(yè)指導(dǎo)。在就業(yè)方面，據(jù)我所知也有相當(dāng)豐厚的福利，比如入職騰訊和支持企業(yè)都有綠色通道，可以不用筆試直接面試等等。

其實(shí)這次騰訊舉辦 TCTF 本身就是希望通過(guò)安全信息競(jìng)賽的形式，來(lái)發(fā)現(xiàn)高校里更多熱愛(ài)安全技術(shù)的人才，最后形成一個(gè)從高校向社會(huì)輸送安全人才的平臺(tái)，解決現(xiàn)在網(wǎng)絡(luò)安全人才缺失的問(wèn)題。我周?chē)J(rèn)識(shí)的很多安全從業(yè)者，包括我自己還有阿左，一開(kāi)始都是從高校打 CTF 比賽開(kāi)始的，我覺(jué)得這是一個(gè)很好的方式。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。