世界黑客大賽冠軍隊長MJ：這比賽是場出乎我意料的「坑爹」之旅

導語：一個月前， MJ 本以為會雲淡風輕地去加拿大參加Pwn2Own 2017 世界黑客大賽，沒想到等待他的是一場「坑爹」之旅。

本文作者：李勤，雷鋒網網路安全專欄作者，入錯行的八卦愛好者。

4 月 5 日，雷鋒網編輯要 360 安全戰隊隊長、世界著名黑客 MJ 0011 （以下簡稱 MJ）拿著前不久在 Pwn2Own 2017 世界黑客大賽上的冠軍獎盃拍個照。

MJ 轉了轉獎盃的齒輪說，把它放在辦公室里還能磨磨指甲。

其實，一個月前， MJ 本以為會雲淡風輕地去加拿大參加大賽，沒想到等待他的是一場「坑爹」之旅。

[MJ 很傷心，沒想到經過一場高度緊張的黑客大賽後，他沒有瘦下來]

高難度漏洞：廠商要過年

3 月11日，攜帶一攬子「神奇漏洞」的 MJ 和 360 安全戰隊隊員抵達加拿大溫哥華，準備參加 3 月 15 日到 3 月 17 日舉辦的 Pwn2Own 2017 世界黑客大賽。

Pwn2Own 是世界著名、獎金豐厚的黑客大賽，由美國五角大樓網路安全服務商、 TippingPoint 的項目組 ZDI（Zero Day Initiative）主辦，谷歌、微軟、蘋果、Adobe 等互聯網和軟體巨頭都對比賽提供支持。

Pwn2Own 大賽從2007年起開始舉辦，難度一屆比一屆高。今年是第十周年， MJ 認為，拿下此次大賽頗有意義，與MJ 有相同想法的還有參加比賽的 10 支戰隊，包括 amuel grob and nicolas baumstark、Ether:玄武實驗室、長亭安全團隊、ralf philipp weinmann、Sniper:科恩實驗室+電腦管家團隊、Richard Zhu、Lance:湛盧實驗室、Moritz Jodeit，Blue Frost Security、Shield:科恩實驗室+電腦管家團隊、

Google Chrome、Microsoft IE 、Adobe Reader、Adobe Flash、Mozilla Firefox ……是此次大賽的攻克目標。Pwn2Own 要求，攻擊所利用的漏洞必須是未知、未公布、未向供應商提交過的。漏洞不能重複利用，遠程攻擊必須要排除操作背後的人為干擾（如瀏覽惡意內容），必須出現在用戶正常的會話中，不會出現重啟或者下線/登錄的情況。

也就是說，攻擊者的漏洞是真正的「零日漏洞」，基本靠一個鏈接「發動攻擊」，「用戶」點擊鏈接後，攻擊者不再「動作」，攻擊要一氣呵成地進行。而且，只有三次攻擊機會。

2017年 Pwn2Own 共設置 15 個項目，根據比賽難度的不同，每一項設置了相應的積分和獎金。在 3 天所有賽程結束後，積分最高的參賽團隊，將贏得「Master of Pwn」（破解大師）世界冠軍稱號，並獲得65000個ZDI積分（約合25000美元）的額外獎勵。

在這樣的高難度大賽里，難怪 ZDI 在其官網上大呼，雖然 2017 年的這次 Pwn2Own 準備了 100 多萬美元的獎金，但廠商也歡欣鼓舞、嚴陣以待——這可能是除了自家平時正常打補丁外，要補高漏洞質量最多的日子了！

嗯，有點像過年的感覺。

焦慮：重頭戲「連環攻擊」可能要失敗

來到溫哥華的第一天，MJ 和隊員們神清氣爽、信心滿滿。

MJ 壓力不大是因為——這是 MJ 第三次參加 Pwn2Own 大賽，此前他也是各類頂級黑客大賽的常客，對一個資深黑客而言，只要平時功夫深，「鐵杵也能磨成針」，更何況，賽前戰隊做了詳細的戰略部署，並準備了應對比賽的超級漏洞。

Pwn2Own 大賽要持續三天，對單個黑客而言，如果每個項目都要參加，三天的強度基本沒人能承受，所以，團隊作戰是Pwn2Own 大賽常見的參賽方式。然而，即使是團隊作戰，強度依然不小。一般，報名單個項目的居多。

參加此次大賽的 360 安全戰隊由從 360Vulcan Team、360代碼衛士和虛擬化研究團隊360Marvel Team抽調的 10 名黑客組成，包括名聲在外的 360Vulcan Team 安全研究員 YukiChen (古河)、虛擬化漏洞挖掘專家唐青昊等人， MJ 擔任隊長。

360 安全戰隊瞄準了8個參賽項目，包括 Adobe Reader、Adobe Flash+系統提權、Apple mac OS、Apple Safari +Apple mac OS、Microsoft Windows 10 、Microsoft Edge +系統提權+虛擬機逃逸、Firefox、Vmware，準備大幹一場。

但是， MJ 沒有想到，這次比賽他們犯下了兩個「大」錯誤，讓他們的「冠軍」來得沒有像以前那樣順利，這也是 MJ 與雷鋒網編輯對談幾個小時的過程中，他一直心心念念的兩點。

第一個失誤是，這支有老牌黑客坐鎮的隊伍這次低估了「連環攻擊」的難度，賽前缺少環境調試。

所謂連環攻擊，是指今年 Pwn2Own 除了獨立項目，又加了一項，如果打完瀏覽器，在全部攻擊完成後，還能再進行虛擬逃逸，就另行加分 。

比如，在攻擊 Edge 後，再進行系統提權，最後如果來一場華麗的虛擬機逃逸，這就是一場連過三關的連環攻擊。但是，連環攻擊分數高，失敗的風險也相當高。

這是一場華麗的冒險。

攻擊一個項目時，如果成功率是 90%，在這個項目里要攻擊三個，疊加後的成功率可能就降低了。而且，它的風險比單純攻擊虛擬機風險更大。比如，就算前兩關成功闖過，一旦最後關頭演示失敗，整個攻擊都算失敗，攻擊項目所累計的積分點和所有獎金都會失去。

如果不進行連環攻擊，只進行前兩項攻擊，不僅成功率高，成功之後積分點和獎金雙雙都能抱回家。

To be or not to be,that is a question.

【哈姆雷特電影劇照】

MJ 雖然不是執意復仇的哈姆雷特，但在高風險面前也異常執著，連環攻擊難，好，就要挑戰。

作為一名世界頂尖的超級黑客，MJ 曾傲視諸多對手。雖然，他和隊員都很看重比賽成果，就是奔著冠軍去的，但是，就算有比較大的風險，從不畏懼、不斷挑戰的「hacker」精神深深印刻在 MJ 的心裡。

做十拿九穩的事沒什麼意義。

不過，360Vulcan Team、360代碼衛士和虛擬化研究團隊360Marvel Team 雖然都在北京，但平時不在一棟樓辦公。除了參加黑客大賽，大家平日還有手頭工作，很難湊到一塊調程序。於是，大夥決定，就在賽前，也就是從 11 號到 14 號這幾天，在加拿大一起碰頭「搞一搞」。

沒想到，碰頭的第一天，他們就發現了問題——一般進行一次攻擊時，對系統環境會造成很多影響，導致整個系統環境不那麼單純了。如果攻擊質量不夠高，可能接下來系統就會崩潰，後面的攻擊根本無法進行。

「比如，我們原本準備的逃逸虛擬機，獨立跑的話，是90%以上的成功率，如果配合瀏覽器，不進行一些代碼優化，成功率就低很多，因為對整個環境有很多影響。」MJ 說。

不配合不知道，一配合嚇一跳。他們之前低估了連環攻擊對環境的影響——單獨攻擊的時候，各自的成功率都能到達 90% 以上，三次攻擊接起來時，成功率直線下降到令人心驚膽戰的 30%。

也就是說，如果按照這個情形來打連環攻擊，呵呵，三次機會可能只有一次成功。

一直十分淡定的 MJ 突然有了前所未有的緊張感。

廠商和選手賽跑：賽前狂補漏洞

以前，MJ 領隊參加國外一些牛氣哄哄的黑客大賽，還能先逛盪幾天，給親戚朋友買點什麼，這次，整個隊伍窩在古河的只有一張桌子的賓館房間里緊張調試，MJ 和隊友們在房間內像打仗一般和程序較勁，和成功率較勁。

他們甚至來不及出去吃飯，讓服務員把餐送到了房間，調試間隙扒一口飯。

內憂同時，外患四起。

Pwn2Own 大賽還有一個看點是——廠商可能會在賽前打補丁，你辛辛苦苦準備為比賽準備的漏洞說不定就被補了，拼的就是刺激啊！

MJ 告訴雷鋒網，比賽之前，他準備了 FireFox、Safari 以及 Edge 的三個「神洞」——很難發現的偏僻漏洞，沒想到，就在賽前陣亡了！

最刺激的是，這次官方補洞的日子就在賽前一兩天。

有的是「命運的使然」——微軟的補丁日一般在每月的第二個星期二，3 月的第二個星期二就是 3 月 14日，比賽就在15日。

「我們當時認為，這個漏洞是不太可能被補的一個洞，因為我們在去年8月就發現了這個漏洞，當時微軟在 10 月補了一次，但是沒補好。我們想，既然都補過一次了，而且微軟補漏洞的質量一般非常高，應該這個沒發現的洞就逃過一劫了，不太可能被補了，當時還是比較有信心的。結果，在補丁日之前把這個補丁給補了。我們不得不換了另外一套替補的漏洞，當然，備選的漏洞也是比較神奇的一個漏洞。」

隨後，Firefox 和 Safari 的漏洞也被補了。

有時，是「狡詐」的廠商善於利用規則——「Flash 的漏洞也是一個非常神奇的漏洞，當時我們認為不太可能被補。Flash 的安全人員雖然不知道漏洞在哪兒？但是他覺得這個地方有漏洞，故意設置不釋放內存，內存一直在那兒占著，我們這個漏洞雖然沒有被修補掉，但沒法利用了，只好就換了一套新的漏洞。」

有時，甚至是廠商故意挑戰參賽選手的情緒——「Vmware一開始我們準備了三套漏洞，一套漏洞用於打獨立項目，然後，另外兩個項目再用兩套漏洞，但是，Vmware 在10 號的時候發了一個補丁，沒補我們的漏洞，當時我們覺得估計這個事就過去了，結果它在14號的晚上，我們都看完漏洞，覺得終於可以休息一會兒，然後第二天早上去打比賽了，結果那天晚上，突然它又發了一個更新，把我們準備打獨立項目的漏洞給補了。」

廠商很任性，能不給的錢和分絕對不會給你。

受到影響不只是 360 安全戰隊，據雷鋒網(公眾號：雷鋒網)了解，廠商「任性」地圍追堵截後，一些參賽隊伍的項目沒法報了，中國其他參賽隊伍也受到了衝擊。

不幸的是，Firefox 無備用漏洞， MJ 所在的戰隊只好放棄了這個項目。幸運的是， Safari 以及 Edge 還有「替補」，雖然獨立項目的漏洞沒了，但涉及「連環攻擊」和「附加分選項」的這些項目的漏洞還在。

一時間，8 個項目只剩下 6 個可以打： Adobe Reader、Adobe Flash+系統提權、Apple mac OS、Apple Safari +Apple mac OS、Microsoft Windows 10 、Microsoft Edge +系統提權+虛擬機逃。

雪上加霜：報名失誤+規則變化+抽籤不利

同時，MJ 犯下了第二個失誤。

就在 3 月 14 日下午， MJ 去簽署參賽項目確認書時，在單獨的 Vmware 逃逸項目沒有報名，只報名了連環項目。就在簽字前的那一剎那，史上最喜怒不形於色的安全研究員古河還朝著 MJ 使了使眼色。MJ 打了個冷顫，表示我對你沒有興趣，沒有接收到這個神秘的信息。

「我們當時只有兩個能打 VMware 的洞，所以就報了這個附加項目（即連環攻擊），沒有報獨立的 Vmware 項目 ，其實可以再報一個獨立的。」據 MJ 事後回憶，古河當時是要自己也在單獨項目那裡打勾——這樣，可以給連環項目減輕壓力，如果連環項目失敗， VMware 單獨項目的分和獎金還能拿回來！」

最可怕的是，360 安全戰隊這次抽籤運氣不佳，雖然看上去每天都是第一個出場，但是在報名的 6 個項目中，只有兩個項目抽到了第一個打，有兩個項目抽到倒數第二，分數最重、打的人最多的 Edge 項目最慘慘，抽到第七名（倒數第二）。

【各戰隊比賽順序】

更令他懊惱的是，360 安全戰隊在 Edge 項目上打的是連環項目（ Edge +系統提權+VMware 逃逸），難度十分高，而參加比賽的人很多人選擇打單獨的瀏覽器項目。剛好今年的比賽規則發生了變化，在瀏覽器這一大類中，只有第一個打下來的人能拿全獎，其他打下來的人只能拿半獎——雖然積分點不受到影響，十分富有、沒有從比賽中分過一毛錢獎金的 MJ 不高興了，「我對獎金也很看重啊，我們還有兄弟可以分啊！」

一著不慎，他們戰戰兢兢地怕撞洞，又擔心連環項目出岔子，「重頭大戲」無奈地因為抽籤留到了第三天，也就是比賽的最後一天。

打Mac提權項目時，還發生了一件匪夷所思的事——隊員從主辦方處拿到全新的 Apple 電腦時，發動第一次攻擊，發現攻擊無法進行。

本來就深受「放棄項目」陰霾的 MJ 心裡咯噔了一下。

「一定是發生了別的問題。」 MJ 找到主辦方，兩方一起檢查了電腦，發現主辦方搞出了一個大烏龍。

「主辦方給錯了系統環境，他買了 8 台 16G 的蘋果電腦，但官方居然給了他兩台 8G 的。他說回去要找蘋果電腦算帳。」主辦方承認了自己的失誤，但堅決不改，換了電腦後，只給隊員剩下的兩次機會繼續打。

「這事我記得比較清楚，我還跟隊員說，我們上場之前先查系統環境，然後一上場，我當時腦子都蒙了，直接就忘了，上來就打。這也說明，我們真的有點緊張。」MJ 說。

在這種緊張的陰霾中，前兩天除了在其他項目打比賽，MJ 就是和隊員一起抽出時間調初始成功率只有 30% 的連環項目的程序，另外，還得時不時地繞到複核項目的評委那，小心翼翼地問一句：「我們沒被撞吧？」

但是，從另外一個角度看，抽籤不利也給他們爭取了兩天的調試時間，到第三天比賽前，唐青昊開心地跟 MJ 說，終於把成功率控制在 90%以上，測試了三次，都是這樣。

MJ 暫時鬆了口氣，但不敢徹底放鬆。

保持到第三天的緊張感

拖了三天的戰線， MJ 和隊員又緊張又疲憊。

他們連著熬了幾個通宵，白天還打著比賽。

終於，第三天來了。360安全團隊小心翼翼地給出了一個攻擊鏈接，點擊，等待。

對攻擊項目進行 Review 的工作人員確定了攻擊有效後，打開了大門，與MJ 握了握手，輕輕告訴他：Edge +系統提權+VMware 逃逸成功。

這也是全場唯一一個連環攻擊成功的項目。

現場其他人還在緊張地比賽，他抑制住內心的狂喜，與隊員一起輕輕地走了出去。

他們沒有擁抱，沒有歡呼，但接受了大家的掌聲——360 安全戰隊拿下了分數最高的連環攻擊項目，總積分排名第一，MJ 穿上了那件與自己身材異常匹配的冠軍皮夾克，和主辦方合影。

讓 MJ 印象深刻的是，遇到什麼事都波瀾不驚的古河看著 MJ 擺出了人生第一個最激烈的手勢——他內心激動，嘴角微微抽動，雙手握拳甩動，說了聲「Yeah」。

他們一起，以黑客的名義，不僅拿下了這場艱難的比賽，還踐行了打死不放棄的理想。

雖然雷鋒網沒有拍到古河的現場照，但是按照 MJ 的描述，我們派出了編輯史中還原了古河的「開心」。

附：Pwn2Own 2017 總戰況匯總列表。

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。但，歡迎轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！