第二届48小时黑客马拉松破解大奖赛&安全训练营

 

活动简介

 

北京时间11月23日，第二届48小时黑客马拉松破解大奖赛于福州正式开战。作为一项对产品安全严格要求、向黑客精神极致追逐、给予参赛选手高额奖励的黑客赛事，本届黑客马拉松吸引了来自全国近10支学生黑客战队参赛，其中包括来自台湾地区的BambooFox和TDOH两支战队。

48小时黑客马拉松破解大奖赛由360安全应急响应中心主办的面向360公司IoT设备的漏洞奖励赛事，设置了36万人民币奖金池，单个漏洞奖励最高可达5万元。

 

少年郎剑试天下

黑客马拉松概念源自美国，当一群高手云集一堂，互相沟通和学习，这就成了”世界上最酷的技术狂欢”。黑客马拉松破解赛采用了48小时极限漏洞挖掘和破解目标随机选定的赛制，参赛选手需要在比赛期间连续不中断地对特定产品进行漏洞挖掘，每队只配备一间休息室以供选手“回血”。在这样短的时间内寻找由安全人员反复把关的产品漏洞，并非易事。不过，没有绝对安全的系统，我们也在期待着他们的精彩表现，为提升360产品安全性而大展身手！

黑不是目的，安全才是王道

360集团作为中国领先的互联网络安全企业，汇聚了国内规模领先的高水平安全技术团队，积累了接近万件原创技术和核心技术的专利，并在此基础上开发出拥有数亿用户的360安全卫士、360手机卫士等安全产品，同时为上百万家国家机关和企事业单位提供包括安全咨询、安全运维、安全培训等全方位安全服务。

怀揣用户安全第一的目的和决心，48小时黑客马拉松破解大奖赛邀请到高校学生对指定产品进行全面漏洞挖掘，考验的不仅仅是书本上的知识，还有个人的技术实力与团队的协同配合。比赛一方面可以提升360产品的安全性，另一方面则能促进新生代网络安全人才的交流，提高网络安全从业者的技术水平，共同打造更安全的网络环境。

 

第二届48小时黑客马拉松破解大奖赛

截止2017年11月25日10:00，48小时黑客马拉松破解大奖赛的赛程已经结束。48小时内共计发出漏洞费用34725元，其中单个漏洞最高奖金7500元。

ROIS战队因符合比赛规则：发现有效漏洞数量最多，且含有一枚高危级别以上漏洞，荣获本次大奖赛的冠军，并额外获得奖金10000元！

本次48小时黑客马拉松破解大奖赛的亚军：一胖一高一瘦战队，季军：少先队，恭喜所有参与本次比赛的小伙伴们！

另，今天下午将在福州大学举办信息安全训练营，将继续为大家带来现场的图文直播，看图文直播就在安全客！

冠军 ROIS战队

亚军 一胖一高一瘦战队

季军 少先队

黑客马拉松破解大奖赛精彩回顾

 

 

 

 

 

 

 

 

 

让我们一起来回顾这48小时的精彩赛程吧！

11月23日 09：30 

签到

选手们接受福州电视台的采访：

11月23日 10：00

比赛开始前，各团队开始自我介绍：

11月23日 10：30

各队伍全力以赴，疯狂破解ing

来自湖南科技大学的少先队

来自台湾的Tdoh战队

福州市闽侯县闽江学院的weird light战队

11月23日 11：30

各队火力全开，比赛正在焦灼进行中，不过还仍未有战队获得积分。

 

11月23日 13：15

开赛三小时，少先队拿下一血，奇酷业务线发现一枚中危漏洞，恭喜少先队获得20积分，3000元人民币奖励，当前漏洞已经被业务修复！

11月23日 13：40

截止13:40分，来自台湾地区的战队Tdoh也不甘示弱，斩获一枚蓝信的低危漏洞。

11月23日 15：00 

由新人白帽组成的CodeMonster战队提交了黑客生涯中的第一枚低危漏洞（xss），祝他们在安全之路上越走越强！

11月23日 17：30

排名第一的少先队又有两枚中危漏洞被确认有效，恭喜他们获得了35分积分以及4500元奖励

11月23日 18：00

夜幕降临，白帽黑客的世界才刚刚开启。漏洞审核人员和后方连线，沟通漏洞细节：

11月23日 20：30 

代表福州地区最高水平的福州大学Rois战队斩获全场第一枚高危漏洞（客户端的代码执行问题），将40积分和7500元人民币收入囊中！其实他们早在中午就提交了这一枚漏洞，经过审核人员与业务线工作人员的反复确认，该漏洞有效！夜渐深，比赛仍在继续……

11月23日 23：30 

两支台湾战队的小伙伴坚持到了最后，带着设备去边“回血”边研究啦，休息一下，祝他们明天取得好成绩哦！

第一天的比赛告一段落，目前少先队以55分总积分暂列第一，本支队伍的队员分别来自湖南科技大学和福州外语外贸学院，他们在开赛第三个小时就提交了全场第一个漏洞，目前他们已经斩获了三枚中危漏洞，获得了7500元人民币奖励。Rois战队斩获了全场第一枚高危漏洞位列第二。一胖一高一瘦这支战队里有一名厉害的女黑客，这支队伍不甘示弱得斩获一枚中危和两枚高危漏洞，暂居榜单第三。期待各队伍明天火力全开，上演更加精彩的角逐！

11月24日 09：00

福州大学Rois战队成员今日到齐，开足马力燃烧小宇宙。

台湾小哥有点着凉，但是也丝毫不松懈，期待他们今天能够拿下高分。

二三名得分紧追不舍，少先队神色严峻，不知他们今天能否保住第一名？

第三名战队一胖一高一瘦则显得轻松自信、胸有成竹，难道今天会有大动作？

其他队伍也在努力战斗，今日战况如何，让我们拭目以待！

11月24日 11：50

目前第一和第二仅差7分，比赛进入白热化阶段！

11月24日 14：00

台湾地区战队Tdoh提交一枚中危漏洞，获得15积分和900人民币奖励，与一胖一高一瘦并列第三。

11月24日 21：32

少先队拿下一枚15分的中危漏洞，比分重回第一！

11月24日 21：42

仅仅过了十分钟，一胖一高一瘦战队紧咬比分再次领先，领先少先队3分

11月24日 22：35

 

工作人员正在聚精会神审核漏洞，参赛队员对漏洞的等级评定有疑问，正在沟通解决。天色已晚，参赛的队员们都还奋战在第一线，努力的破解面前的一个又一个难题。

 

11月25日 00：16

rois 团队刚刚收获一枚高危漏洞

 

11月25日 00:30

凌晨12点半，你在干什么呢？参赛队员们已经陆续回到休息室休整，场上还剩来自台湾的tdoh战队的小伙伴们在坚持着。加油哇，小伙子们！

 

主办方

 

360安全应急响应中心、福州大学数学与计算机科学学院

 

48小时黑客马拉松漏洞破解赛

 

1. 时间：11月23日10:00-11月25日10:00

2. 参赛者需要48小时连续不中断的对特定产品进行漏洞挖掘。在48小时内，主办方除提供食品和饮料外，还将为每个战队提供一间酒店标间，用于选手“回血”休息。

参赛队伍：

3. 比赛结束后，根据漏洞挖掘数量和质量进行额外奖励。

4.比赛题目：

360 安全路由器P3

应用漏洞: 360智能管家app；

固件系统漏洞：360路由器发布版固件系统通用漏洞，包括敏感信息泄露、远程拒绝服务、远程代码执行、本地代码执行，本地敏感信息泄露，认证绕过等。

360智能摄像机 夜视版

应用漏洞: 360智能摄像机app；

固件系统漏洞：360智能摄像机发布版固件系统通用漏洞，包括敏感信息泄露、远程拒绝服务、远程代码执行等。

360手机N5s

应用漏洞: 360手机预装应用以及360公司产品,例如360手机浏览器；

系统漏洞: MSM和MTK驱动漏洞,通用Linux内核漏洞。

比赛期间，发现有效漏洞数量最多，且含有一枚高危级别以上漏洞的白帽子，将奖励一部iPhone X。 （若有两个及以上团队或个人提交有效漏洞的数量、等级均相同，则由审核人员根据技术水平表现情况判定名次）

本次活动全部奖励将由360安全应急响应中心发放。

5. 漏洞范围、审核标准请见https://security.360.cn/Reward/reward

注：360SRC在法律允许的范围内对本活动评判标准和规则拥有解释权与修改权。

 

信息安全训练营

 

时间：2017 年 11 月 25 日 13:30 – 17:20

地点：福州大学国家科技园阳光科技大厦

精彩瞬间：

会议议程：

14:00-14:40 《你离企业需要的信息安全人才还有多远？》

演讲人：林伟，360网络攻防实验室负责人；前补天漏洞平台负责人；福州大学国家网络安全重点实验室名誉教授；国内知名安全社区T00ls.net创始人。多次在重要时期（两会、APEC、一带一路等）成功保障国家重要网站安全。全球首破特斯拉，可远程操控并开走任意一部特斯拉，并致其失控。

议题概要：国内安全人才的缺口有100多万，而在职的安全人员却只有几千，从业机会如此之大，为何符合企业要求的安全人才却如此少？如何成为企业所需要的安全人员获得高人一等的年薪，走上人生巅峰？高学历仅仅是带你进入企业的第一张入场券，能否走的更远你需要懂的还有很多！

14:40-15:20  《如何提升个人信息安全意识》

演讲人：李福，360信息安全部；360信息安全部web安全负责人；360 0keeTeam 成员，拥有多年安全实战经验，擅长渗透测试与漏洞挖掘。在安全评估和各种漏洞利用和场景有独到的见解。BlackHat 2016演讲者。

议题概要：社会工程已经成为大部分IT部门关注的重点，据统计，超过60%网络攻击的关键因素或主要因素是“人的因素”。本次分享将通过各类攻击演示，如钓鱼攻击，社会工程学攻击，电话诈骗，恶意wifi，手机电脑木马等.为大家剖析网络攻击者的心理，以此提升自己的信息安全意识。

15:20-16:00 《无线电信号分析与破解》

演讲人：曾颖涛，360无线电安全研究部，高级安全研究员，360 UnicornTeam无线安全研究员。主要从事对物联网，汽车遥控系统，汽车雷达安全方面研究。神话行动一期学员，曾发现影响多款汽车无线车锁程序安全漏洞，《智能汽车安全攻防大揭秘》作者之一。曾在HITB，DEFCON，BlackHat等国际安全会议发表议题。

议题概要：生活中通过无线遥控的设备无处不在，例如遥控玩具，遥控车库门，遥控门铃等等，这些无线设备让我们摆脱有线的困扰带来无线中便利的同时也带来了不必要的安全风险隐患，本议题通过简单介绍软件无线电设备，逆向无线电信号的一些方法，然后以某款设备为例进行分析中无线通信中出现的安全隐患。

16:00-16:40 《linux 内核漏洞的分析和利用》

演讲人：罗军，360CERT 安全分析工程师。热爱代码分析阅读，研究kernel安全、二进制安全以及漏洞挖掘。从事安全分析研究2年，linuxer，pythoner，技术栈广泛 ，完成并发表过多篇漏洞分析报告。To be a geeker, hack for fun！

议题概要：与Windows相比，Linux被认为具有更好的安全性和其他扩展性能。这些特性使得Linux在操作系统领域异军突起，得到越来越多的重视。但linux内核一旦出现漏洞，危害同样也是巨大的。本次报告将从linux内核的大体架构，内核的攻击面介绍，并会通过一个漏洞实际利用，达到本地提权的例子来讲解，介绍如何分析和调试一个内核漏洞，为漏洞挖掘做准备。

16:40-17:20 《IoT攻防初探-路由器远程代码执行》

演讲人：初佳奇，360信息安全部安全工程师，专注于代码审计、漏洞挖掘与利用，主攻方向为 Web 安全、IoT 安全及自动化漏洞挖掘。

议题概要：IoT 是近年内新兴的热门方向，正因为是新兴，尚未接受过安全的洗礼，其中存在许多的高危漏洞。而由于 IoT 设备的日活量之大，一旦漏洞爆发将带来极其恶劣的影响。本次分享将介绍 IoT 设备的攻击面，并从协议、Web、二进制等方向、结合实际漏洞讲解如何挖掘 IoT 设备中存在漏洞并对其进行利用。

 

报名地址：https://www.bagevent.com/event/registerTicket/981257

 

活动发布、推广及现场报道请联系安全客 duping@360.cn