本文作者：雷鋒網(wǎng)，李勤，關(guān)注網(wǎng)絡(luò)安全和黑科技。

這是一個月前的故事，直到現(xiàn)在“絕密內(nèi)情”才浮出水面。

美國時間 7月26日，離黑客界的最盛大比賽 DEF CON CTF 2017 正式開始還有 2 天。

今年剛剛從浙江大學(xué)大學(xué)畢業(yè)，依然擔(dān)任浙江大學(xué) AAA 戰(zhàn)隊隊長的劉耕銘作為 A*0*E 戰(zhàn)隊的一員，到達了拉斯維加斯。下機的那一刻，由于長途旅行疲憊，劉頗有困意。

這不是劉耕銘第一次作為決賽隊伍的選手逐鹿 DEF CON CTF，也不是他第一次到國外打比賽，所以，他沒有什么可緊張的。

劉的指導(dǎo)老師，蔡亮可就不一樣了。今年，浙江大學(xué)有 5 名學(xué)生進入由騰訊 eee 戰(zhàn)隊、上海交大 0ops 戰(zhàn)隊、復(fù)旦大學(xué)******戰(zhàn)隊以及浙江大學(xué) AAA 戰(zhàn)隊組成的聯(lián)合戰(zhàn)隊 A*0*E 。AAA 戰(zhàn)隊今年在騰訊舉辦的TCTF 比賽中一舉拿下了新人賽的冠軍，現(xiàn)在，又組隊來參加 DEF CON CTF。

這是近年來 AAA 戰(zhàn)隊成績最好的一次。浙大的領(lǐng)導(dǎo)給這次參賽的學(xué)生撥了專項參賽基金，支持他們參賽，前不久蔡老師又從學(xué)校爭取了一個機房給 AAA 戰(zhàn)隊做專門訓(xùn)練之用。

蔡說，這是比學(xué)校給撥款更顯支持力度的一件事。不出點好成績，他壓力山大。

蔡亮比劉耕銘遲一天到達拉斯維加斯，到達會場時，氣溫并沒有那么高，他的掌心卻有點冒汗了。

比賽現(xiàn)“連環(huán)計”

留給劉耕銘的準備時間并不多。

為了不讓選手使用已有的工具，DEF CON CTF 從去年開始設(shè)置了一個新對戰(zhàn)系統(tǒng)，在比賽前一天對參賽選手開放。也就是說，這 24 小時是緊張地熟悉系統(tǒng)及開發(fā)新工具的時間。

因為比賽不限定人數(shù)，這次 A*0*E 聯(lián)合戰(zhàn)隊聯(lián)合了 約 30 名隊員，其中，一些隊員專門負責(zé)開發(fā)工具。AAA 戰(zhàn)隊此次派出了 5 個隊員，還有一個主力隊員最后因為簽證問題沒有參加比賽。

其實，聯(lián)合戰(zhàn)隊并不是 A*0*E 的獨創(chuàng)。今年參加比賽的臺灣地區(qū)戰(zhàn)隊事實上也是一支聯(lián)合戰(zhàn)隊，由幾支戰(zhàn)隊組成，平時各自訓(xùn)練，獨立參賽，只有在重大賽事來臨，才會聯(lián)合團戰(zhàn)。在去年 DEF CON CTF 中獲得第二名的中國戰(zhàn)隊也是一支聯(lián)合戰(zhàn)隊。甚至，在早幾年，劉耕銘與藍蓮花戰(zhàn)隊聯(lián)合也參加過 DEF CON CTF 的決賽。

隨著賽事逐年開展，越來越多的戰(zhàn)隊已經(jīng)學(xué)“聰明”：聯(lián)合實力強大的選手組團參賽，獲得更好成績。

這次比賽一共有 9 道題，全部是二進制題目，但題目并不是同時放出來。

因此，這支由 4 支戰(zhàn)隊聯(lián)合的隊伍以原來的小隊伍為單位，按照題目類型和隊伍優(yōu)勢同時在線做題。

在做題的緊張氛圍中，解題能力和戰(zhàn)術(shù)同樣關(guān)鍵。

“主辦方提供一些程序，這些程序是有漏洞的，你需要做的就是發(fā)現(xiàn)這些程序里面的漏洞去攻擊人家，同時還要把這些漏洞補上，因為別人也有可能用這個漏洞來攻擊你，你需要把這個漏洞給補上。你把漏洞補上之后，你補完后的程序，實際上其他隊伍都可以看得到的，所以有一些隊伍可能自己覺得自己補不好，就直接抄強隊補好的程序。”劉耕銘介紹。

拿過多次世界冠軍的美國 PPP 戰(zhàn)隊想出了一個招：在他們補的程序里面加上自己的后門，如果其他隊伍抄了他補好的這個程序，實際上相當(dāng)于有了他的后門，又可以直接通過后門來攻擊抄了的這個隊伍。

螳螂捕蟬，黃雀在后。

劉耕銘說：“今年比賽第一天，我們發(fā)現(xiàn) PPP 的分數(shù)漲得特別特別快，當(dāng)時就懷疑他有后門。但是，我們 2013年就參加 DEF CON，都是最老隊員，比較有經(jīng)驗，知道 PPP 會放后門在里面，都沒有抄。但發(fā)現(xiàn)有很多可能第一次參加的隊伍都抄 PPP 的程序，就中招了，很多隊伍都有這樣問題。”

PPP 戰(zhàn)隊今年再把老招拿出來用， A*0*E 又生了一計。

比賽第二天，PPP戰(zhàn)隊的人跑過來對 A*0*E 的隊員發(fā)出警示：你們千萬不要用韓國隊補好的程序，程序里面有后門。

因為前年韓國隊伍奪冠，韓國隊和 PPP 是實力最強的兩支隊伍，PPP 擔(dān)心韓國隊也借用這一招反超，所以想趁機“幫助”A*0*E ，制約韓國隊。

劉耕銘一樂，其實 A*0*E 早就知道有這個后門，而且發(fā)現(xiàn)了其他隊伍也來抄 A*0*E 的，所以干脆“借力打力”，借別人家的“后門”再拿下別的隊伍的分數(shù)。

還有一個巧妙的策略是，在拿下一道題目的“一血”（第一個解出一道題）后，往往可以打時間差，對別的隊伍發(fā)起進攻。但是，如果打擊強隊，強隊可以在攻擊流量中分析出解題思路，從而迅速補好自己的漏洞。這樣，可能打不了多久。

因此， A*0*E 決定，先攻擊 12 支其他隊伍，剩下兩支強隊最后攻擊，盡量放大一血的優(yōu)勢。

驚險的最后一小時，把第三名拉下馬

第一天比賽暫時結(jié)束后， A*0*E 在積分榜上名列第四，與第三名韓國隊差距不大，相隔1000多分。

但是，到了第二天，所有分數(shù)不再顯示，大家成了“盲打”。

蔡老師有點焦慮了：不行，怎么樣都要拿到第三名，至少要把韓國隊拉下馬。

第一天比賽結(jié)束后，A*0*E 先匯合聊了下比賽的后續(xù)打法，蔡老師拉著 AAA 戰(zhàn)隊的小伙子又開了個小會。

第二天，AAA 和另外一個小分隊的同學(xué)一起做這道題，當(dāng)時沒成功。

因為這道題是全程一直對抗，這個漏洞沒有辦法補上，只能做限制：你看對方做限制，你就要想辦法繞過這個限制，我寫出一個攻擊腳本，對方上一個新的補丁，我再根據(jù)這個補丁，再寫一個攻擊腳本，就一直這樣來回對抗。

“到第二天結(jié)束時出了一個補丁，這個補丁出來后， A*0*E 所有的攻擊都打不了。小伙伴覺得可能寫不出攻擊腳本，我們就去找其他漏洞了。悲劇的是，到了第三天，很多隊伍都上了這個補丁，果然攻擊沒法展開?！贝蠹矣行┲绷恕?/p>

在比賽結(jié)束前兩個小時，一心想拿下好名次的劉耕銘咬了咬牙，不想放棄，于是和小分隊的同學(xué)陷入了頭腦風(fēng)暴中，在最后一小時終于寫出了攻擊腳本。

結(jié)果，這個腳本寫出來后可以攻擊大多數(shù)隊伍。同時，另外兩道題也寫出了攻擊新腳本。在最后關(guān)鍵的一個小時內(nèi)， A*0*E 漲了很多分。此時，他們才驚險地“干掉了”韓國隊，拿下了DEF CON CTF 的第三名。

AAA 的故事

比賽結(jié)束當(dāng)天，蔡老師請三天兩夜沒有睡覺的 AAA 戰(zhàn)隊吃了大龍蝦。

劉耕銘此時已經(jīng)大學(xué)畢業(yè)一個月，他成為了騰訊科恩實驗室的一名安全研究員，隊長一職馬上就要移交給接棒的研二的學(xué)長朱夢凡了。

劉耕銘很開心，因為 AAA 戰(zhàn)隊沒有在這個時刻經(jīng)歷人才斷層。

回想到劉耕銘剛進入浙江大學(xué)在校內(nèi)信息安全大賽上拿到第二名時，蔡老師得知劉耕銘才上大一，非常激動。

蔡老師告訴雷鋒網(wǎng)編輯，其實 AAA 戰(zhàn)隊經(jīng)歷了一期和二期。AAA 戰(zhàn)隊一期中走出了何淇丹（現(xiàn)在騰訊科恩）、張凱和秦宇峰（現(xiàn)在安恒科技）、張智宇（現(xiàn)在阿里云）、陳宇森和張酉夫（現(xiàn)在長亭科技）……

然后，AAA 戰(zhàn)隊就經(jīng)歷了人才斷層。

找到好苗子不容易。在那段時間里，整個 AAA 戰(zhàn)隊只有劉耕銘一個人?！澳菚r我大二，接觸信息安全的時間也不長，也沒打過幾場比賽，但戰(zhàn)隊的元老們都畢業(yè)了，忙著工作、創(chuàng)業(yè)，不可能經(jīng)常參加比賽，我只能一個人上。”一個人的戰(zhàn)隊，成績很“慘烈”，那段時間在國內(nèi)的 CTF 比賽上，AAA 戰(zhàn)隊幾乎再沒有打進過前二十。

因為一些同學(xué)私自對學(xué)校網(wǎng)絡(luò)進行“滲透測試”，蔡亮還經(jīng)常被其他學(xué)院的老師找過來?！拔覀冎缓门艿狡渌麑W(xué)院，把人家機器給恢復(fù)好之類。反正有一些就有證據(jù)，人家找上來說是我們隊員搞的，還有一些沒有證據(jù)的，最后學(xué)院也沒有辦法?！辈汤蠋熆扌Σ坏?，類似幾起事件發(fā)生后，AAA 戰(zhàn)隊一直處在和學(xué)校關(guān)系緊張的低谷期。

后來，在白洪歡、蔡亮等老師的支持下，劉耕銘開始當(dāng)隊長并為 AAA 招新人。

“白老師有一整個學(xué)期每周五都給我們隊員上課，給我們講逆向方面的知識，包括上課的時候也會推薦他發(fā)現(xiàn)的不錯的同學(xué)加入我們戰(zhàn)隊，來上信息小組的課，做一些東西。”劉耕銘說。

剛開始也有女生加入 AAA 戰(zhàn)隊，可是因為要經(jīng)常訓(xùn)練，還要沒日沒夜的打比賽，這些女生一個個都走了，AAA 成了一支純漢子隊伍。劉耕銘想了想，她們沒堅持下來還是因為這個過程太難了，夜以繼日的比賽，熬夜很傷皮膚。

以后，劉耕銘可能就要以另一重身份——科恩的安全研究員邁向另外一個戰(zhàn)場了。在這個戰(zhàn)場中，劉耕銘面對的對手將是來自網(wǎng)絡(luò)安全世界的真正攻擊者。

蔡亮很欣慰，也看開了——這幾年阿里、百度、騰訊等公司都來搶戰(zhàn)隊的學(xué)生，憑著學(xué)校的條件好像也搶不過來。還好，現(xiàn)在成績越來越好，學(xué)校批了實驗室給AAA 戰(zhàn)隊進行專門訓(xùn)練，跟學(xué)校達成的授權(quán)滲透測試合作也快下來了。

送走老隊員，迎來新隊員，第一課就要告訴他們：兔子不吃窩邊草，這次安心地給學(xué)校進行授權(quán)測試吧。

本文作者：雷鋒網(wǎng)，李勤，關(guān)注網(wǎng)絡(luò)安全和黑科技。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。