本文作者：雷鋒網(wǎng)，李勤，關(guān)注網(wǎng)絡(luò)安全和黑科技。

這是一個月前的故事，直到現(xiàn)在“絕密內(nèi)情”才浮出水面。

美國時間 7月26日，離黑客界的最盛大比賽 DEF CON CTF 2017 正式開始還有 2 天。

今年剛剛從浙江大學(xué)大學(xué)畢業(yè)，依然擔(dān)任浙江大學(xué) AAA 戰(zhàn)隊(duì)隊(duì)長的劉耕銘作為 A*0*E 戰(zhàn)隊(duì)的一員，到達(dá)了拉斯維加斯。下機(jī)的那一刻，由于長途旅行疲憊，劉頗有困意。

這不是劉耕銘第一次作為決賽隊(duì)伍的選手逐鹿 DEF CON CTF，也不是他第一次到國外打比賽，所以，他沒有什么可緊張的。

劉的指導(dǎo)老師，蔡亮可就不一樣了。今年，浙江大學(xué)有 5 名學(xué)生進(jìn)入由騰訊 eee 戰(zhàn)隊(duì)、上海交大 0ops 戰(zhàn)隊(duì)、復(fù)旦大學(xué)******戰(zhàn)隊(duì)以及浙江大學(xué) AAA 戰(zhàn)隊(duì)組成的聯(lián)合戰(zhàn)隊(duì) A*0*E 。AAA 戰(zhàn)隊(duì)今年在騰訊舉辦的TCTF 比賽中一舉拿下了新人賽的冠軍，現(xiàn)在，又組隊(duì)來參加 DEF CON CTF。

這是近年來 AAA 戰(zhàn)隊(duì)成績最好的一次。浙大的領(lǐng)導(dǎo)給這次參賽的學(xué)生撥了專項(xiàng)參賽基金，支持他們參賽，前不久蔡老師又從學(xué)校爭取了一個機(jī)房給 AAA 戰(zhàn)隊(duì)做專門訓(xùn)練之用。

蔡說，這是比學(xué)校給撥款更顯支持力度的一件事。不出點(diǎn)好成績，他壓力山大。

蔡亮比劉耕銘遲一天到達(dá)拉斯維加斯，到達(dá)會場時，氣溫并沒有那么高，他的掌心卻有點(diǎn)冒汗了。

比賽現(xiàn)“連環(huán)計(jì)”

留給劉耕銘的準(zhǔn)備時間并不多。

為了不讓選手使用已有的工具，DEF CON CTF 從去年開始設(shè)置了一個新對戰(zhàn)系統(tǒng)，在比賽前一天對參賽選手開放。也就是說，這 24 小時是緊張地熟悉系統(tǒng)及開發(fā)新工具的時間。

因?yàn)楸荣惒幌薅ㄈ藬?shù)，這次 A*0*E 聯(lián)合戰(zhàn)隊(duì)聯(lián)合了 約 30 名隊(duì)員，其中，一些隊(duì)員專門負(fù)責(zé)開發(fā)工具。AAA 戰(zhàn)隊(duì)此次派出了 5 個隊(duì)員，還有一個主力隊(duì)員最后因?yàn)楹炞C問題沒有參加比賽。

其實(shí)，聯(lián)合戰(zhàn)隊(duì)并不是 A*0*E 的獨(dú)創(chuàng)。今年參加比賽的臺灣地區(qū)戰(zhàn)隊(duì)事實(shí)上也是一支聯(lián)合戰(zhàn)隊(duì)，由幾支戰(zhàn)隊(duì)組成，平時各自訓(xùn)練，獨(dú)立參賽，只有在重大賽事來臨，才會聯(lián)合團(tuán)戰(zhàn)。在去年 DEF CON CTF 中獲得第二名的中國戰(zhàn)隊(duì)也是一支聯(lián)合戰(zhàn)隊(duì)。甚至，在早幾年，劉耕銘與藍(lán)蓮花戰(zhàn)隊(duì)聯(lián)合也參加過 DEF CON CTF 的決賽。

隨著賽事逐年開展，越來越多的戰(zhàn)隊(duì)已經(jīng)學(xué)“聰明”：聯(lián)合實(shí)力強(qiáng)大的選手組團(tuán)參賽，獲得更好成績。

這次比賽一共有 9 道題，全部是二進(jìn)制題目，但題目并不是同時放出來。

因此，這支由 4 支戰(zhàn)隊(duì)聯(lián)合的隊(duì)伍以原來的小隊(duì)伍為單位，按照題目類型和隊(duì)伍優(yōu)勢同時在線做題。

在做題的緊張氛圍中，解題能力和戰(zhàn)術(shù)同樣關(guān)鍵。

“主辦方提供一些程序，這些程序是有漏洞的，你需要做的就是發(fā)現(xiàn)這些程序里面的漏洞去攻擊人家，同時還要把這些漏洞補(bǔ)上，因?yàn)閯e人也有可能用這個漏洞來攻擊你，你需要把這個漏洞給補(bǔ)上。你把漏洞補(bǔ)上之后，你補(bǔ)完后的程序，實(shí)際上其他隊(duì)伍都可以看得到的，所以有一些隊(duì)伍可能自己覺得自己補(bǔ)不好，就直接抄強(qiáng)隊(duì)補(bǔ)好的程序。”劉耕銘介紹。

拿過多次世界冠軍的美國 PPP 戰(zhàn)隊(duì)想出了一個招：在他們補(bǔ)的程序里面加上自己的后門，如果其他隊(duì)伍抄了他補(bǔ)好的這個程序，實(shí)際上相當(dāng)于有了他的后門，又可以直接通過后門來攻擊抄了的這個隊(duì)伍。

螳螂捕蟬，黃雀在后。

劉耕銘說：“今年比賽第一天，我們發(fā)現(xiàn) PPP 的分?jǐn)?shù)漲得特別特別快，當(dāng)時就懷疑他有后門。但是，我們 2013年就參加 DEF CON，都是最老隊(duì)員，比較有經(jīng)驗(yàn)，知道 PPP 會放后門在里面，都沒有抄。但發(fā)現(xiàn)有很多可能第一次參加的隊(duì)伍都抄 PPP 的程序，就中招了，很多隊(duì)伍都有這樣問題。”

PPP 戰(zhàn)隊(duì)今年再把老招拿出來用， A*0*E 又生了一計(jì)。

比賽第二天，PPP戰(zhàn)隊(duì)的人跑過來對 A*0*E 的隊(duì)員發(fā)出警示：你們千萬不要用韓國隊(duì)補(bǔ)好的程序，程序里面有后門。

因?yàn)榍澳觏n國隊(duì)伍奪冠，韓國隊(duì)和 PPP 是實(shí)力最強(qiáng)的兩支隊(duì)伍，PPP 擔(dān)心韓國隊(duì)也借用這一招反超，所以想趁機(jī)“幫助”A*0*E ，制約韓國隊(duì)。

劉耕銘一樂，其實(shí) A*0*E 早就知道有這個后門，而且發(fā)現(xiàn)了其他隊(duì)伍也來抄 A*0*E 的，所以干脆“借力打力”，借別人家的“后門”再拿下別的隊(duì)伍的分?jǐn)?shù)。

還有一個巧妙的策略是，在拿下一道題目的“一血”（第一個解出一道題）后，往往可以打時間差，對別的隊(duì)伍發(fā)起進(jìn)攻。但是，如果打擊強(qiáng)隊(duì)，強(qiáng)隊(duì)可以在攻擊流量中分析出解題思路，從而迅速補(bǔ)好自己的漏洞。這樣，可能打不了多久。

因此， A*0*E 決定，先攻擊 12 支其他隊(duì)伍，剩下兩支強(qiáng)隊(duì)最后攻擊，盡量放大一血的優(yōu)勢。

驚險的最后一小時，把第三名拉下馬

第一天比賽暫時結(jié)束后， A*0*E 在積分榜上名列第四，與第三名韓國隊(duì)差距不大，相隔1000多分。

但是，到了第二天，所有分?jǐn)?shù)不再顯示，大家成了“盲打”。

蔡老師有點(diǎn)焦慮了：不行，怎么樣都要拿到第三名，至少要把韓國隊(duì)拉下馬。

第一天比賽結(jié)束后，A*0*E 先匯合聊了下比賽的后續(xù)打法，蔡老師拉著 AAA 戰(zhàn)隊(duì)的小伙子又開了個小會。

第二天，AAA 和另外一個小分隊(duì)的同學(xué)一起做這道題，當(dāng)時沒成功。

因?yàn)檫@道題是全程一直對抗，這個漏洞沒有辦法補(bǔ)上，只能做限制：你看對方做限制，你就要想辦法繞過這個限制，我寫出一個攻擊腳本，對方上一個新的補(bǔ)丁，我再根據(jù)這個補(bǔ)丁，再寫一個攻擊腳本，就一直這樣來回對抗。

“到第二天結(jié)束時出了一個補(bǔ)丁，這個補(bǔ)丁出來后， A*0*E 所有的攻擊都打不了。小伙伴覺得可能寫不出攻擊腳本，我們就去找其他漏洞了。悲劇的是，到了第三天，很多隊(duì)伍都上了這個補(bǔ)丁，果然攻擊沒法展開。”大家有些著急了。

在比賽結(jié)束前兩個小時，一心想拿下好名次的劉耕銘咬了咬牙，不想放棄，于是和小分隊(duì)的同學(xué)陷入了頭腦風(fēng)暴中，在最后一小時終于寫出了攻擊腳本。

結(jié)果，這個腳本寫出來后可以攻擊大多數(shù)隊(duì)伍。同時，另外兩道題也寫出了攻擊新腳本。在最后關(guān)鍵的一個小時內(nèi)， A*0*E 漲了很多分。此時，他們才驚險地“干掉了”韓國隊(duì)，拿下了DEF CON CTF 的第三名。

AAA 的故事

比賽結(jié)束當(dāng)天，蔡老師請三天兩夜沒有睡覺的 AAA 戰(zhàn)隊(duì)吃了大龍蝦。

劉耕銘此時已經(jīng)大學(xué)畢業(yè)一個月，他成為了騰訊科恩實(shí)驗(yàn)室的一名安全研究員，隊(duì)長一職馬上就要移交給接棒的研二的學(xué)長朱夢凡了。

劉耕銘很開心，因?yàn)?AAA 戰(zhàn)隊(duì)沒有在這個時刻經(jīng)歷人才斷層。

回想到劉耕銘剛進(jìn)入浙江大學(xué)在校內(nèi)信息安全大賽上拿到第二名時，蔡老師得知劉耕銘才上大一，非常激動。

蔡老師告訴雷鋒網(wǎng)編輯，其實(shí) AAA 戰(zhàn)隊(duì)經(jīng)歷了一期和二期。AAA 戰(zhàn)隊(duì)一期中走出了何淇丹（現(xiàn)在騰訊科恩）、張凱和秦宇峰（現(xiàn)在安恒科技）、張智宇（現(xiàn)在阿里云）、陳宇森和張酉夫（現(xiàn)在長亭科技）……

然后，AAA 戰(zhàn)隊(duì)就經(jīng)歷了人才斷層。

找到好苗子不容易。在那段時間里，整個 AAA 戰(zhàn)隊(duì)只有劉耕銘一個人?！澳菚r我大二，接觸信息安全的時間也不長，也沒打過幾場比賽，但戰(zhàn)隊(duì)的元老們都畢業(yè)了，忙著工作、創(chuàng)業(yè)，不可能經(jīng)常參加比賽，我只能一個人上?！币粋€人的戰(zhàn)隊(duì)，成績很“慘烈”，那段時間在國內(nèi)的 CTF 比賽上，AAA 戰(zhàn)隊(duì)幾乎再沒有打進(jìn)過前二十。

因?yàn)橐恍┩瑢W(xué)私自對學(xué)校網(wǎng)絡(luò)進(jìn)行“滲透測試”，蔡亮還經(jīng)常被其他學(xué)院的老師找過來?！拔覀冎缓门艿狡渌麑W(xué)院，把人家機(jī)器給恢復(fù)好之類。反正有一些就有證據(jù)，人家找上來說是我們隊(duì)員搞的，還有一些沒有證據(jù)的，最后學(xué)院也沒有辦法。”蔡老師哭笑不得，類似幾起事件發(fā)生后，AAA 戰(zhàn)隊(duì)一直處在和學(xué)校關(guān)系緊張的低谷期。

后來，在白洪歡、蔡亮等老師的支持下，劉耕銘開始當(dāng)隊(duì)長并為 AAA 招新人。

“白老師有一整個學(xué)期每周五都給我們隊(duì)員上課，給我們講逆向方面的知識，包括上課的時候也會推薦他發(fā)現(xiàn)的不錯的同學(xué)加入我們戰(zhàn)隊(duì)，來上信息小組的課，做一些東西?！眲⒏懻f。

剛開始也有女生加入 AAA 戰(zhàn)隊(duì)，可是因?yàn)橐?jīng)常訓(xùn)練，還要沒日沒夜的打比賽，這些女生一個個都走了，AAA 成了一支純漢子隊(duì)伍。劉耕銘想了想，她們沒堅(jiān)持下來還是因?yàn)檫@個過程太難了，夜以繼日的比賽，熬夜很傷皮膚。

以后，劉耕銘可能就要以另一重身份——科恩的安全研究員邁向另外一個戰(zhàn)場了。在這個戰(zhàn)場中，劉耕銘面對的對手將是來自網(wǎng)絡(luò)安全世界的真正攻擊者。

蔡亮很欣慰，也看開了——這幾年阿里、百度、騰訊等公司都來搶戰(zhàn)隊(duì)的學(xué)生，憑著學(xué)校的條件好像也搶不過來。還好，現(xiàn)在成績越來越好，學(xué)校批了實(shí)驗(yàn)室給AAA 戰(zhàn)隊(duì)進(jìn)行專門訓(xùn)練，跟學(xué)校達(dá)成的授權(quán)滲透測試合作也快下來了。

送走老隊(duì)員，迎來新隊(duì)員，第一課就要告訴他們：兔子不吃窩邊草，這次安心地給學(xué)校進(jìn)行授權(quán)測試吧。

本文作者：雷鋒網(wǎng)，李勤，關(guān)注網(wǎng)絡(luò)安全和黑科技。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。