HITCON 2016駭客競賽一天竟挖出三個真實世界0day漏洞

HITCON CTF 2016決賽在為期兩天激烈的駭客攻防戰，冠軍隊伍終於出爐。Cykorkinesis (韓國)奪下國際駭客級資安競賽HITCON CTF 2016冠軍，獲得獎金10,000美元，並將直接晉級美國DEFCON2017決賽。第二、三名為LC↯BC (俄羅斯)與PPP (美國)，分別獲得5,000美元與2,000美元獎金。競賽獎金由聯發科技、東博資本與和沛移動共同贊助。同時，為鼓勵台灣資安人才，台灣Dispwnable隊伍也因表現優異，榮獲HITCON TAIWAN STAR獎，予以頒發1,000美元獎金，希望吸引更多人才投入台灣軟體與資安產業。

競賽負責人李倫銓表示，這次競賽有三個特點，1)台灣連續兩年舉辦國際現場攻防賽，2)台灣連續兩年獲選DEFCON種子賽，3)初賽選拔獲世界各國選手肯定，評價逼近滿分。這次決賽隊伍有：美國PPP、俄羅斯聯隊LC↯BC、韓國Cykorkinesis、美國Shellphish、日本TokyoWesterns、越南CLGT、匈牙利!SpamAndHex、羅馬尼亞 PwnThyBytes、韓國KAIST Gon、中國0ops、台灣Dispwnable、台灣Hacker Forge、波蘭p4。「第二天上午戰況激烈，各隊都將熬夜研發的攻擊武器施展出來，美國PPP不但打出首殺，更追上俄羅斯LCBC暫居第二，整個追分過程緊張萬分。」李倫銓表示。

另外，本次賽事更出現「一個軟體、三個 0-Day」的精彩現象。Web出題者Orange說明，他出了一題WEBROP，是以Opensource軟體SugarCRM為基礎所設計，他曾經因為某些特性挖到該軟體的漏洞，因此做出這題WEBROP的設計，是直接用SugarCRM真實環境架設，希望拋磚引玉出更多的漏洞利用方法及 0-Day，結果首先LCBC率先在這題挖出一個 0day 漏洞，接著 PPP 及Cykorkinesis也挖出不同的漏洞，這樣神奇的現象，Orange說：「這種出題的過程，只要自己確定題目能夠解，接著就能拋磚引玉讓參賽隊伍找出不同利用方式或是 0-Day，是最棒的出題方式。」

根據現場觀察員的觀察，這次比賽不但主辦單位設計即時宇宙戰場動畫顯示即時戰況，每個隊伍還有一個燈箱，結合物聯網開發板控制燈光效果，被攻擊之隊伍之燈箱會亮閃爍紅燈，增加觀眾與隊伍臨場感。而此次題目有深度，涵蓋範圍廣泛，顯現出題者有豐富的比賽經驗，關卡類型包括Pwnable、Reverse、Web、Forensic、Cryptography、MISC等領域。參賽選手們必須謹慎細心，發揮臨場機智，才能順利解題、突破各個關卡。

這次的CTF競賽與HITCON Pacific同步舉行，邀請全球資安專家與駭客共同參與，為台灣創造國際技術交流與接軌平台，加速點亮台灣資安人才國際化腳步。亦希望透過舉辦競賽刺激台灣校園或民間資安駭客資安社群蓬勃發展，藉此激盪出資安新創人才！

獲勝隊伍簡介