HITCON CTF 2016 一天發現三個零時漏洞 韓國隊勇奪冠軍

HITCON CTF 2016 決賽在為期兩天激烈的駭客攻防戰,冠軍隊伍終於出爐。 Cykorkinesis (韓國)奪下國際駭客級資安競賽 HITCON CTF 2016 冠軍,獲得獎金 10,000 美元,並將直接晉級美國 DEFCON2017 決賽。第二、三名為 LC↯BC (俄羅斯)與PPP (美國),分別獲得 5,000 美元與 2,000 美元獎金。競賽獎金由聯發科技、東博資本與和沛移動共同贊助。同時,為鼓勵台灣資安人才,台灣 Dispwnable 隊伍也因表現優異, 榮獲 HITCON TAIWAN STAR 獎,予以頒發 1,000 美元獎金,希望吸引更多人才投入台灣軟體與資安產業。

 

競賽負責人李倫銓表示,這次競賽有三個特點,1)台灣連續兩年舉辦國際現場攻防賽,2)台灣連續兩年獲選 DEFCON種子賽, 3)初賽選拔獲世界各國選手肯定,評價逼近滿分。

這次決賽隊伍有:美國 PPP、俄羅斯聯隊 LC↯BC、韓國 Cykorkinesis、美國 Shellphish、日本 Tokyo Westerns、越南 CLGT、匈牙利 !SpamAndHex 、羅馬尼亞 PwnThyBytes、韓國 KAIST Gon、中國 0ops、台灣 Dispwnable、台灣 Hacker Forge、波蘭 p4。「第二天上午戰況激烈,各隊都將熬夜研發的攻擊武器施展出來,美國 PPP 不但打出首殺,更追上俄羅斯 LC BC 暫居第二,整個追分過程緊張萬分。」李倫銓表示。

 

「一個軟體、三個 0-Day」

另外,本次賽事更出現「一個軟體、三個 0-Day」的精彩現象。 Web 出題者 Orange 說明,他出了一題 WEBROP,是以 Opensource 軟體 SugarCRM 為基礎所設計。他曾經因為某些特性挖到該軟體的漏洞,因此做出這題 WEBROP 的設計, 是直接用 SugarCRM 真實環境架設,希望拋磚引玉出更多的漏洞利用方法及 0-Day。

結果首先 LCBC 率先在這題挖出一個 0 day 漏洞,接著 PPP 及 Cykorkinesis 也挖出不同的漏洞,這樣神奇的現象,Orange 說:「這種出題的過程,只要自己確定題目能夠解,接著就能拋磚引玉讓參賽隊伍找出不同利用方式或是 0-Day,是最棒的出題方式。」

根據現場觀察員的觀察,這次比賽不但主辦單位設計即時宇宙戰場動畫顯示即時戰況,每個隊伍還有一個燈箱, 結合物聯網開發板控制燈光效果,被攻擊之隊伍之燈箱會亮閃爍紅燈 ,增加觀眾與隊伍臨場感。而此次題目有深度,涵蓋範圍廣泛, 顯現出題者有豐富的比賽經驗,關卡類型包括 Pwnable、 Reverse、Web、Forensic、 Cryptography、MISC 等領域。參賽選手們必須謹慎細心,發揮臨場機智,才能順利解題、突破各個關卡。