[网络安全自学篇] 二十一.GeekPwn 2019极客大赛之安全攻防技术总结及ShowTime

这是作者的系列网络安全自学教程，主要是关于网安工具和实践操作的在线笔记，特分享出来与博友共勉，希望您们喜欢，一起进步。这篇文章主要分享作者10月24日参加上海GeekPwn极客大赛的体会，包括各种安全技术、ShowTime及疑惑。作者尽量还原当时的现场情景，以观众第一视角，带着网络安全初学者的无数疑问，并查询资料分享一些技术点。写这篇文章不容易，花费了两部手机电量，许多笔记、照片和资料完成，希望您喜欢，不喜勿喷~

作者作为网络安全的小白，分享一些自学基础教程给大家，希望你们喜欢。同时，更希望你能与我一起操作深入进步，后续也将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不容易，大神请飘过，不喜勿喷，谢谢！

下载地址：https://github.com/eastmountyxz/NetworkSecuritySelf-study
百度网盘：https://pan.baidu.com/s/1dsunH8EmOB_tlHYXXguOeA 提取码：izeb

PS：标题中带星号的表示作者比较感兴趣或现场表现力很炸的技术，当然都很精彩，都值得我学习。

前文学习：
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向破解
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码（一）
[网络安全自学篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信（一）
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程（二）
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池（四）
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示（一）
[网络安全自学篇] 十九.Powershell基础入门及常见用法（一）
[网络安全自学篇] 二十.Powershell基础入门及常见用法（二）

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包

参考资料：
极棒现场各位极客大佬、老师和黑客们的分享，还有主办方精心制作的PPT和视频，也有部分内容是作者归纳的经验和见解。

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。

---

GeekPwn 2019国际安全极客大赛上午9点开始，本次的主题是“Geek Me 5 无极”，由黄健翔主持，到场的嘉宾（部分）包括：

• 丁珂：GeekPwn大赛顾问、腾讯公司副总裁、腾讯安全负责人
• 王琦（大牛蛙）：GeekPwn大赛主办，极棒创办人、KEEN公司CEO
• 杜跃进：GeekPwn大赛顾问、中国网络空间安全协会副理事长
• Ian Goodfellow：GeekPwn大赛顾问、苹果公司研究科学家、生成式对抗网络发明人
• 宋晓冬：GeekPwn大赛顾问、加州大学伯克利分校教授
• 卜峥：GeekPwn大赛顾问、滴滴出行首席信息安全官
• 于旸：GeekPwn攻破挑战赛评委、腾讯安全玄武实验室负责人
• 袁仁广：GeekPwn攻破挑战赛评委、腾讯湛泸武实验室负责人
• 诸葛建伟：GeekPwn攻破挑战赛评委、清华大学副研究员、蓝莲花联合创始人
• 屈波：GeekPwn攻破挑战赛评委、派托网络公司安全专家
• 王宇：GeekPwn攻破挑战赛评委、滴滴美国研究所安全专家
• 万涛：GeekPwn攻破挑战赛评委、IDF极安客实验室联合创始人
• 董志强：GeekPwn攻破挑战赛评委、腾讯安全云鼎实验室负责人
• …

PS：这些人都是国内外顶尖的安全领域专家，他们所在的实验室也都掌握着国内最新的安全技术，希望大家也都关注下他们的新闻或博客动态。由于打字和照相速度有限，只记住了部分评委的信息，还请海涵。

---

10 · 24 上午

01*.云安全挑战赛

之前的舞台我们见证了第一次iPhone被破解，第一个特斯拉被破解，第一个POS机被刷，第一部中国黑客纪录片诞生，而今年是极棒的第五年，我们将见证些什么呢？这里有第一次云全栈攻破，第一次反偷拍的比赛，第一次手机声波图案解锁被破解，第一次小朋友们参加的表演。接下来开始第一个项目——云安全挑战赛。
PS：每个项目都会有一段背景知识和参赛人员的介绍，下图是第一个项目的简介。

虚拟时代，人人上云，有人在守护云端的我们吗？

背景介绍
云计算就像一个大超市，现代公司可以去选择任何想要的服务、资源。“一朵云”能够支持千变万化的应用。云计算就像发电厂，你或许不了解电来自哪里，你也不清楚调用的应用服务来自哪里，但是你的生活已经离不开它们了。
GeekPwn联合腾讯安全云鼎实验室发起首个基于真实云平台的云安全挑战赛，覆盖云计算“全栈”环境，包括云环境中的固件模块、管理模块、虚拟化模块、应用模块等，旨在提高云计算服务安全性。

技术点：比赛要求参赛团队通过漏洞挖掘、多路径攻击等层层穿透云环境（OS层、底层固件）。

比赛规则：
决赛现场，主办方（腾讯安全云鼎实验室与极棒）搭建典型云计算环境，并在云计算各层级中预设赛题，根据赛题难度设置响应分值。比赛采用解题模式，即选手通过渗透破解预设赛题，获取并正确提交答案字串后，获得对应赛题分数。

整个比赛完全模拟公有云实现，实时监测所有命令，基础环境漏洞，高防也有漏洞。比赛场景如下图所示。

夺旗比赛的画面，能可视化显示各支队伍的得分及攻击详情。最终，上海交通大学的Oops战队最终获得第一（攻破9道题，累计得到2210分），非常厉害的一个战队，国际CTF赛场上也经常有他们的身影。腾讯和极棒后续也将推出《2019云安全威胁报告》。

个人理解&技术解析
腾讯云鼎实验室副总监李滨介绍了四大关卡的难度：

• 一是入门难度，属于比较常见的通用黑客攻击，并非针对云，相当于热身；
• 二是需要攻击者可以控制用户主机，获得比较高的权限，可以获取用户层面的资源；
• 三是涉及云平台，从用户的空间到达了云平台的层面；
• 四是增强高防安全环境和可信环境，验证云抗攻击能力，保证云平台自身很难被攻破。

云连万物，云自身是否安全、云上的数据是否安全，如何保障全生命周期数据安全，如果云受到了攻击，又该怎么办？
这里的技术涉及到固件模块、管理模块、虚拟化模块、应用模块等基于真实场景下的全栈云环境中，根据配置信息自行搭建云计算环境进行研究，通过不同路径、层层围攻、突破云环境。腾讯安全云鼎实验室目前的研究领域可以概括为“1个底座+2个中台+1个模型”，即云全栈安全基础设施、云数据中台、云租户运营中台、云上攻击模型的安全研究。

PS：具体云攻击技术还需深入研究，应该是在传统网络安全技术基础上的提升。

---

02.隐私保护值反偷拍挑战赛

不靠肉眼、自制设备、十分钟找出房间中所有针孔摄像头的挑战。如果反偷拍很容易，那就不需要上极棒的舞台了。

背景介绍
你会带帐篷住酒店吗？这可能是个蠢问题，但绝不是一件蠢事。难保你不会出现在酒店、民宿、试衣间、网约车、公共厕所等场合。你不想被别人看到的隐私很有可能已经被无数双眼睛看过了。用79到790元不等就可以买一个用来偷拍的微型摄像头，更有酒店管理者称百分之八十的酒店都有偷拍摄像头。“被动裸奔”究竟何时会停止呢？
隐私保护之反偷拍挑战赛要求选手自制偷拍摄像头检测工具，实现自动化检测。比赛场景是一个充满摄像头的房间，选手挑战的是在10分钟内不依靠眼睛、找出尽可能多的偷拍设备并进行定位。现场所有物品将由幕布覆盖，全程实现自动化检测。

比赛场景设计了多个摄像头，并且部分信号干扰，选手需要通过自制工具识别摄像头。

比赛需通过技术手段识别摄像头，避免人为经验肉眼识别，并且所有设备必须是自制的。

个人理解&技术解析
摄像头识别的常见技术手段包括反光识别摄像头、WIFI识别摄像头、物理金属探测摄像头等，但物理金属探测摄像头的误报太多。选手有通过热呈现原理、三角定位等自动寻找，并且相关设备都是自制的，后续建议大家可以尝试学习数莓派，或者一些开源的代码及设备，尝试自制一个摄像头识别设备，也推荐集成到APP中进行检测。

---

03.青少年机器特工挑战赛

首个青少年机器特工的挑战赛，挑选未来的英雄。

背景介绍
青少年机器特工挑战赛的参赛选手均是9至18岁的小学、初中或高中生，他们自制的机器人要在规定的10分钟比赛时间内，控制机器人达到指定地点进行夺旗、穿越隔绝通道、放置模拟炮弹、切断信号线，实现机器人自动采集模拟矿石、成果撤退等任务。

当这代黑客老了，能保护我们的黑客新星在哪里？

你们真的是祖国的花朵啊！小黑客们在成长。

---

04*.CAAD CTF 图像对抗样本攻防挑战赛

我还是我，世界上最好的AI也这么认为吗？

背景介绍
人类通过眼睛获取的信息要远远超过听觉、触觉等其他方式。五十年前，人类就开始教计算机看懂世界。现在，计算机终于能够看懂眼前的世界了，但是，它看的世界跟人看到的完全一样吗？跟人类的视觉一样，AI也存在盲点，这个盲点就是对抗样本。利用对抗样本攻击，让AI的眼里只有你想让它看到的。
2018年，GeekPwn联合谷歌大脑的AlexeyKurakin、现苹果公司的IanGoodfellow以及美国加州大学伯克利分校计算机教授宋晓冬共同发起CAAD对抗样本挑战赛（Competition on Adversarial Attacks and Defences）。在去年的比赛现场，选手成功欺骗了亚马逊名人识别系统，今年的挑战难度提升了…

技术点：对抗样本攻击，欺骗AI技术。

CTF图像对抗样本让AI的眼里只有你想要看到的。比赛包括三个选项，分别对应下图中的三块屏幕，左边是第一关，右边是第二关，中间是第三关。六支队伍现场调试代码进行比拼。

第一项：非定向攻击识别。 每次攻击同时识别三个目标，只需要让AI识别错误即可，例如将给定目标的足球识别为“锤子”、“斧头”、“书包”（三个不是足球的图片），则表示成功，很多队伍都陆续成功。

第二项：定向攻击识别。 需要将这辆车主动识别成目标直升机。

第三项：人脸识别攻击。 该识别需要通过亚马逊、微软、Clarifai（名人识别系统）三个商业的AI图库，将黄健翔老师在三个系统中均识别为伊万卡。可惜没有一支队伍成功。

可惜第三个项目没有队伍成功，最终冠军被清华大学的TSAIL拿到（清华大学+瑞莱智慧RealAI）。赛事组想最终实现的功能如下图所示，将足球识别成包，小车识别成直升机，黄健翔老师识别成伊万卡。

个人理解&技术解析
从2013年开始，深度学习模型在多种应用上已经能达到甚至超过人类水平，比如人脸识别，物体识别，手写文字识别等等。 在之前，机器在这些项目的准确率很低，如果机器识别出错了，没人会觉得奇怪。但是现在，深度学习算法的效果好了起来，去研究算法犯的那些不寻常的错误变得有价值起来。其中一种错误叫对抗样本（adversarial examples）。

对抗样本指的是一个经过微小调整就可以让机器学习算法输出错误结果的输入样本。在图像识别中，可以理解为原来被一个卷积神经网络（CNN）分类为一个类（比如“熊猫”）的图片，经过非常细微甚至人眼无法察觉的改动后，突然被误分成另一个类（比如“长臂猿”）。对抗样本的发现给深度学习和网络安全敲响了警钟，提醒人们要思考深度学习的安全性和可靠性。例如，干扰亚马逊或谷歌服务器提供的图像识别服务，对抗样本经过拍照，干扰手机图像分类。

下图展示了对抗样本（DNN中后门攻击）的一个例子，它能够在图片中植入很小的后面（修改），将图片分类为我们想要的结果，即使图片是数字5或7，我们也能让AI错误地识别为目标数字4。

赛后技术分享：我们如何了更好地实现图像对抗样本呢？

• 集成多个模型以及Feature Denoising for Imporving Adversarial Robustness的模型
• 动量优化目标函数，让对抗样本更加有效
• 平移不变攻击 Translation Invariant(TI) Attack
• 输入多样性：resize and pad、scale invariant（整张图乘以一个随机标量）、旋转、仿射，将输入集成起来
• 人脸识别主流的模型包括：CosFace、FaceNet、SphereFace、ArcFace
• 由于商业公司的图库具有保密性，想欺骗他们还是存在一定难度，后续仍需提升

推荐：
[1] CosFace：https://github.com/MuggleWang/CosFace_pytorch
[2] FaceNet：https://github.com/timesler/facenet-pytorch
[3] SphereFace：https://github.com/clcarwin/sphereface_pytorch
[4] ArcFace：https://github.com/deepinsight/insightface
[5] Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks, 2019, S&P.
[6] Exploiting the Inherent Limitation of L0 Adversarial Examples, 2019, RAID.

---

05.CAAD 隐身挑战赛

人类的隐身梦想能在AI时代实现吗？

背景介绍
古今中外，人类始终没有放弃隐身的梦想。从古希腊深化到中国古代《西游记》，从科幻作家威尔斯笔下的隐身药水到《哈利波特》、《魔戒》里的隐身斗篷。随着科技突飞猛进，传说中的隐身能走进现实吗？
选手使用对抗图片针对不同算法模型进行攻击，使目标检测模型识别不出人的存在，实现隐身的目的。攻击图片为现场打印的标准A4纸，选手可以对纸质进行矩形剪裁调整，最多可打印10页。选手通过现场调整距离、图片遮挡位置，在规定时间内完成调整即得分。

之前看到一个新闻，小朋友通过人脸识别尝试取快递，这导致丰巢快递柜很快就下线了此功能。同样，苹果的face ID同样有风险，如果对方用一样的球面的脸型是完全可以识别的后解锁手机的。而这个比赛项目和他们也比较类似。

实验过程
目标人会拿一张A4纸（通常置于胸前）站在视频检测门之前，如果系统识别出有人类，则挑战失败；否则成果。识别系统包括YOLO和Google检测系统。

这个比赛耽误了些时间，而且最终的效果不是很理想，YOLO部分组检测成果，但Google系统均能检测出人类（延迟）。部分小组会选择为珊瑚作为图像，有的选择苹果作为图像，最终好像是清华大学团队获得冠军。

个人理解&技术解析
隐私挑战赛以对抗补丁实现对样本的干扰，考察对抗补丁的质量。如果越小越好的图案能逃避Google或YOLO的检测，则得分越高。如果人工智能算法识别出现问题，整个安防检查就会出错，就能让整个人在检测中消失。

比赛中，选手会手持一张包含对抗补丁图像的A4纸，然后依次站于摄像头前的不同距离处，如果系统不能识别出人，则表示成功。如下图所示，包含人的图片中存在苹果（对抗补丁），它能干扰图像识别系统，从而识别不出人来。这里涉及的知识点包括通用对抗噪声、对抗补丁、全局损失函数等，其核心思想还是欺骗AI，后续深入研究。

YOLO（You Only Look Once）是一种基于深度神经网络的对象识别和定位算法，其最大的特点是运行速度很快，可以用于实时系统，广泛应用于图形检测系统中。现在YOLO已经发展到v3版本，新版本是在原有版本基础上不断改进演化。

如下图所示，输入一张图片，要求输出其中所包含的对象，以及每个对象的位置（包含该对象的矩形框）。对象识别和定位可以看成两个任务：找到图片中某个存在对象的区域，然后识别出该区域中具体是哪个对象。

推荐YOLO文章：https://segmentfault.com/a/1190000016692873

---

06*.一种利用未知安全漏洞的新型HTTPS劫持攻击挑战

手机干净、网站安全、网络加密，为何我的秘密还是丢了？

背景介绍
HTTP 是万维网的数据通信的基础，由蒂姆·博纳斯-李于1989年在欧洲核子研究组织所发起。但是HTTP信息是明文传输，如同站在大街上开会，很难保证安全性。而HTTPS被视为现行架构下最安全的解决方案，它通过SSL协议对传输的数据进行加密，保证了数据的安全性，同时还确保网站的真实性。可是，世界上没有绝对的安全。

实验团队：
TsinghuaQian，清华-奇安信联合研究中心

比赛内容：

• 禁止选手触碰被攻击设备
• 20分钟内完成攻击
• 利用未公开漏洞
• 禁止选手事先获得受害者电脑的任何配置信息和账号口令
• 通过攻击篡改受害者访问的网页中的二维码
• 通过攻击获得受害者登录网页输入的用户名和密码

第一个实验，通过HTTPS劫持将搜狐视频APP二维码被替换掉。

第二个实验，通过HTTPS劫持获取网易邮箱的用户名和密码。

PS：遗憾的是，只演示了攻击过程，而没有分享原理或技术点。

个人理解&技术解析
利用HTTPS协议的漏洞，攻击部署了HTTPS最佳实践的网站，远程劫持篡改HTTPS保护的网页内容，窃取HTTPS保护的用户密码。HTTPS保证只有传输的两端能看到信息，但比赛选手让网络传输中间可见，访问搜狐视频的网站，将有HTTPS保护的加密流量替换掉，替换其中的二维码。当访问者下载攻击者的APP时，会被恶意劫持从而丢失更多信息。这种攻击和中病毒、木马不一样，攻击者并没有投放什么东西，就拿到了目标网站的信息。

HTTPS劫持类似于，邮寄一封信是看不到里面的内容的，只有寄信人和收信人能看到，但现在假设某个人有透视功能，他能看到信中的内容。这个邮寄的过程相当于HTTPS，而透视则相当于利用HTTPS协议漏洞。总之，HTTPS虽然增加了安全，受到SSL保护，但不需要依赖明文协议，它也是能被劫持的。Alexa Top 100网站中有27%的Apex Domain的子域会受此攻击威胁。结合现有Web安全漏洞，可被攻击的Apex Domain多达514743个。HTTPS劫持的攻击危害包括：
(1) 支付过程劫持
(2) 登录过程劫持
(3) 资源下载挂马
(4) 知名网站挂马

补充：清华大学-奇安信网络安全联合研究中心（孕育“蓝莲花”等国际知名黑客战队，四大安全定会发表文章多篇），清华大学网络与信息安全实验室（NISL）包括段海新、诸葛建伟、张超等大神。

---

10 · 24 下午

07*.一种利用未知安全漏洞进行入侵的新型办公系统攻击挑战

散会后，为什么每个演讲者电脑都被入侵了？

背景知识
MAXHUB无线传屏WT01A，利用无线投屏设备的漏洞，攻击设备植入恶意程序、感染其他投屏电脑，远程控制其他投屏电脑拍摄并获取用户照片；利用平板电视的漏洞，攻击设备截屏并获取图片。

实验团队：
北京长亭科技（施伟铭、郑吉杰、马新杰）

比赛内容：

• 禁止选手触碰平板电视机受害者电脑
• 20分钟内完成攻击
• 利用未公开漏洞
• 禁止选手事先获得目标设备中的任何配置信息和账号口令
• 通过攻击，控制其他连接投屏设备的电脑，拍摄并获取用户照片
• 通过攻击，获得平板电视的root shell截屏并获取图片

PS：由于该比赛是下午第一场，而上午结束比较晚，开启比较快，故错失前面5分钟。

个人理解&技术解析：
会议室里的窃听风云，通过攻击控制其他连接投屏设备的电脑，拍摄并获取用户照片。这个实验最主要的原因是固件升级过程中未校验的问题导致的。 不仅可以能拿设备，还能获取内容，传播获取摄像头。

选手分享的流程包括：
(1) 挑选目标：尽量从身边中常用的设备
(2) 挖掘思想：从获取第一个固件信息和第一个shell开始
(3) 利用想法：不仅仅只是想Pwn掉一个设备

实验技巧：
(1) 设备固件的两三事：可信的固件校验/升级流程
(2) Windows defender：免杀的一些挫折
(3) 漏洞危害：信息泄露、蠕虫传播等

---

08*.一种针对多种类型指纹识别系统的全新自动化破解展示

我只是喝了杯水，为什么他们就能打开我的手机？

背景介绍
市场上已经有很多针对不同生物特征识别认证的应用，其中指纹识别当数最热门的认证方式之一。日常生活中手机解锁、公司签到、小区门锁、打开智能保险箱等，都用到了指纹。你的指纹有可能在不经意间被别人偷走吗？

实验团队：
腾讯玄武实验室·陈昱

比赛规则：

• 禁止选手触碰和查看受害者的指纹
• 20分钟内完成攻击
• 利用未公开的攻击方法
• 禁止选手事先获得目标设备中的任何配置信息和账号口令
• 通过攻击，解开使用不同指纹验证技术的4台手机、2台考勤机

实验过程如下：随机抽取一位观众上台，在干净的纸杯上按上三个指纹（防止不清晰按多个）；接着陈老师用手机拍照并采集玻璃杯上的指纹，并用自制APP提取指纹，最后通过自制3D打印机打印指纹后进行解锁实验，整个设备总成本控制在千元左右。下图是作者拍摄的现场图。

个人理解&技术解析：
选手通过在短时间内用低成本设备复制并制作受害者的假指纹，攻击并解开使用超声、电容、光学等不同指纹验证技术的设备。其中超声指纹破解属于全球首次。注意，超声指纹（三维特征）不同于光学指纹和电容指纹（二维特征），而本次实验同时破解所有类型的指纹（电容、光学、超声）。

图像识别技术如下图所示，包括双线性插值与二值化，雕刻处理等，都是很常见的图像处理算法，似乎感觉自己也能复现，但里面应该有深层次算法，有机会试试。

下图是我之前实现的图像处理算法（和上图有些类似），它可以将模糊的车牌识别出来，运用的也都是常见的处理算法，其中(a)是原始图像；(b)是中值滤波处理后的图像；©是直方图均衡化处理后的图像；(d)是二值化处理后的效果图；(e)表示提取图像的文字内容；(f)表示经过开运算和闭运算过滤掉噪声后的效果图，可以清晰地看到文字“AED-632”。同样，这里的指纹识别是否能运用一些算法实现呢？之后可以试试。

接着运用3D打印机进行雕刻指纹，均为一般设备。这里有两个因素可能影响实验：

• 自动化（残迹拍摄处理与雕刻控制全部在手机上完成）
• 不可控因素（破解频率受纹残迹本身的清晰度影响较大）

接下来作者将打印的指纹粘在拇指上，进行验证，并成功解锁了2台打开机和3部手机图案锁。当下，黑产领域也有一些应用，包括假人脸、摇头、眨眼、语音欺骗等，希望未来安全厂商能有效防御。

---

10*.一种针对手机应用程序账号认证的绕过攻击演示

我只是打开了一个手机热点，为什么我的账号都被盗了？

背景介绍
如果你每天花大量时间沉迷于手机无法自拔，那么恭喜，你和许多人一样患有“手机依赖症”。有数据显示，人们平均每天看手机的时间长达4小时，手机自然帮你保存了许多密码。
网络世界危机四伏，但是使用智能手机的八亿中国网民似乎并没意识到。你会分享你手机热点给别人吗？那就要小心了。

实验团队：
武影AIoT安全团队（瘦、炜唯）

比赛规则：

• 禁止选手触碰受害者手机
• 20分钟内完成攻击
• 利用未公开的攻击方法
• 禁止选手事先获得受害者的任何账号密码和任何手机配置信息
• 通过攻击安卓手机，登录账号获取私信
• 通过攻击iPhone手机，登录账号获取历史订单

成功获取微博登录账号及密码。

成功获取某平台的房间订单信息。

个人理解&技术解析：
APP身份认证，利用账号认证的漏洞，攻击并登录受害者的大量互联网账号，获取账号中的隐私数据。该实验需要手机发送短信安装恶意应用至目标手机，从而窃取抖音、微博等账号，获取收集信息应该是运营商来获取的，但是这带来一个问题，加固被绕过。下图是作者使用的工具。

获取酒店信息：发送私信，看到手机酒店订单信息。它是先通过手机发送恶意软件，不小心安装恶意应用之后，会获取私密信息，通过共享热点成功获取微博信息、酒店订单信息。APP都会有很多逻辑判断，包括运营商地理位置等。下面比较了正常访问和恶意攻击的流程。

正常访问（获取凭证及服务器认证流程）

恶意攻击（数据盗用设备环境数据）

---

11*.一种利用未知安全漏洞针对知名网络设备的攻破挑战

我是怎么看到的假新闻？

背景介绍
随着科技的发展，网络犹如空气。路由器无疑是众多家庭与中小企业网络的“心脏”。当路由器被攻击者远程控制，用户浏览的网页、个人信息遭到泄露，同时攻击者还可以设下“网络陷阱”进行钓鱼攻击等。很多人并不知道路由器正成为个人信息防护的最大安全隐患之一。

实验团队：
韩国黑客队伍 TAK of SISLAB

比赛规则：

• 禁止选手触碰目标设备
• 20分钟内完成攻击
• 利用未公开的攻击方法
• 禁止选手事先获得路由器管理密码
• 通过攻击，获取目标路由器root shell
• 通过DNS劫持，在客户端访问某网站时显示篡改的内容

攻击前：

攻击后，整容新闻修改为了黄黄健翔新闻。

个人理解&技术解析
该实验利用漏洞攻击Cisco路由器（CISCO RV215W Router），攻击并获取路由器最高权限，劫持篡改用户访问的网站。我的华为手机放大了无数倍，终于看清了他们使用的其中一个工具——dnschef。哈哈~

DNSChef是一种在Python中开发的跨平台应用程序，一个高度可配置的DNS代理，用于渗透测试和恶意软件分析，分析用户间传输的网络流量。例如，可以使用一个DNS代理伪造所有到“badguy.com”的请求至本地计算机，进而对流量进行分析。

GeekPwn最后，韩国队伍分享了一些经验，选择常见攻击目标 RV215W fireware，使用工具都是常见的FMK、IDA、Google等。

---

12.首个人工智能语音对抗样本挑战赛 CAAD

谁替我说了一句话，还被AI识别了？

背景介绍
人工智能克隆一个人的声音，所需多少素材？研究人员已经把需要的声音时长从90分钟缩短到3.7秒。这意味着，志玲姐姐只需要提供3.7秒的声音，就可以为所有人进行语音导航了。别说是一般人，就连亲妈都可能听不出来这些人工智能生成的声音与真人声音有什么不同。
人工智能的创造力有可能被用来欺骗人工智能识别系统吗？身边这些对我们言听计从的语音助手，会不会有天被一段“画外音”控制呢？今年CAAD语音对抗样本攻防赛要求选手通过对正常音频进行细微修改，导致系统识别出错，或者被系统错误识别成其他指定命令。

比赛规则：
挑战目标是各种语音转文字服务或产品，可以是在线云服务，使用云服务的产品，后者独立的语音转换文字服务。要求选手能够对比赛提供的正常声音（可能是人说话、鸟叫、火车汽笛等各种声音）做很小的修改之后，导致服务/产品识别成组委指定的文字内容，或者进行其他合理的对服务/产品的误导。

PS：新闻淘宝卖语音的比较多，这里面又涉及到了哪些技术呢？吴恩达课程分享过如何识别人声音，从各种噪声中。语音对抗样本研究人更少，这项比赛最终没有进行。

---

13*.三种利用未知安全漏洞控制智能音箱的多路径攻击挑战

深夜，怪声与投票。

背景介绍
智能音箱是近两年的科技新风尚。作为人工智能技术与终端结合的产品，智能音箱俘获了大批粉丝。据市场调研机构预测称，2019年全球智能音箱将突破2亿台，中国智能音箱市场预计将达到5990万台。
智能音箱一旦被攻击控制，家庭生活隐私可能被直播，个人信息数据遭到泄露，其他智能设备也都面临安全风险。

实验团队：
木星安全实验室（伍智波、周坤）

比赛规则：

• 禁止选手触碰受害者的手机和智能音箱
• 20分钟内完成攻击
• 利用未公开漏洞
• 禁止选手事先获得目标设备中的任何配置信息和账号口令
• 通过攻击，获得音箱的root shell
• 通过攻击，控制音箱播放指定的声音
• 通过攻击，替换音箱的开机音箱
• 通过攻击，控制音箱在投票网站投票

个人理解&技术解析：
利用飞利浦智能音箱的漏洞，攻击并获取root权限，控制音箱播放声音，替换开机音效（鬼叫声），控制音箱在投票网站投票。注意，这里是网络可达环境实施攻击，而不是同一个局域网环境。

建议大家及时更新版本，不论是手机APP用户，还是网站搭建的改后台管理员，真的很重要。针对IoT的漏洞越来越多，智能设备产生高流量不容易能发现，而且能24小时运行。

分析方法包括固件分析、APP分析、Web命令注入漏洞，常用的IoT漏洞挖掘思路：
(1) 提取固件进行分析
(2) 对智能设备的APP端进行分析，寻找可以利用的隐患点
(3) 对Web程序进行分析，比较容易发现命令注入漏洞
(4) 设备可能会存在一些telnet、ssh、ftpd后门等，可以多留意下

---

14*.一种全新的利用互联网通用协议未知缺陷的攻击演示

坐在咖啡厅，打开笔记本就能让世界上最流行的网站瘫痪吗？

背景介绍
20世纪90年代，互联网出现之后拨号上网是最普遍方式。那时的网民少、带宽低，网络传输并没有遇到很大压力。但随着网络技术的普及跟网民群体的扩大，互联网出现的拥堵恐成为其发展的阻塞。
CDN即内容分发网络（Content Delivery Networ）的出现，解决了互联网传输的“最后一公里”难题。CDN如同一个网络信息“转运中心”，将互联网的海量内容高效地输送给庞大的用户，是一项非常有效的缩短时延的技术。CDN一旦遭到攻击，会怎么样呢？

实验团队：
TsingQian清华-奇安信联合研究中心

比赛规则：

• 20分钟内完成攻击
• 利用未公开漏洞
• 禁止选手直接控制高带宽网络节点
• 通过攻击，占满目标站点3GB带宽
• 网站是主办方搭建的CDN网站

个人理解&技术解析：
CDN仅通过一台低配置电脑和低带宽网络，利用CDN的通用实现缺陷，控制CDN向目标站点发起大规模DDOS攻击。之前CDN都是用来防范DDOS攻击，而这次实验确实利用它来进行DDOS攻击。

从下面的地图炮可以看到，全世界的CDN节点都发起了攻击，出流量峰值达到3GB表示实验成功。

Haste Makes Waste: CDN DDoS Attacks
(1) 如何利用HTTP的设计缺陷和CDN的实现缺陷，打破CDN的DDoS防御
(2) 截止当前，已发现多个严重的通用缺陷
(3) 影响范围几乎所有主流CDN都可被用于实施DDoS攻击
(4) 所有网站都可能遭受攻击，部分CDN可能遭受攻击

该攻击特点如下：
(1) 攻击者 -> 攻击成本低（低配置、低消耗、零付费）
(2) 受害者 -> 资源消耗大（带宽大、连接数多、付费）
(3) 等同于真实用户的正常请求，受害者不能拒绝该请求
(4) 分布式回源，受害者难以进行IP清洗，攻击者很难被追踪

PS：可惜没有深入分析CDN具有哪些缺陷，以及攻击方法或工具。

如何检测到这个攻击呢？腾讯大禹接着启动防御措施，通过AI算法提醒受到了攻击，正在执行缓解措施。

• 大禹提醒 2019年10月24日 cdntest.geekpwn.org 正在遭受DDoS攻击！

PS：o(╥﹏╥)o 接下来的手机没电了，打开了我的老爷机拍摄，可能图片的效果不是很理想，还请海涵。

---

15.一种针对主流工控设备的攻击演示

极棒的舞台有多黑？伸手不见五指？

背景介绍
工业控制系统对很多人来说还很陌生。实际上，工控系统在钢铁、化工、电力等重化工业已有多年应用，家电自动化控制系统都是工控系统衍生而来的。
2019年3月，委内瑞拉遭网络攻击导致全国停电。因为停电， 一对委内瑞拉当地新婚夫妻在漆黑的教堂中结婚，15名透析病人无法使用医疗设备而死亡…工业控制系统安全隐患对个人乃至社会造成了极大的危害，甚至严重影响到一个国家的正常发展及运行。

实验团队：
木星安全实验室（伍智波、周坤）

比赛规则：

• 禁止选手触碰目标设备
• 20分钟内完成攻击
• 禁止选手使用产品监控攻击
• 利用未公开漏洞
• 通过攻击使目标设备运行异常，控制信号
• 控制电路断电

演示效果：使设备停止运行、如果被不法分子攻击将严重影响国家和地区的重要基础设施安全。 在极棒比赛中，可以搭配一些工业控制的外围设备，模拟出 一些希望展示的场景，比如: 使大型 IDC 机房的精密空调失效，导致机房中的服务器过热被烧坏；使爆炸品仓库的制冷设备失效，导致仓库发生爆炸；使水闸控制器失效，导致大量泄水等。

个人理解&技术解析：
法国施耐德电气Modicon M580 ePAC PLC，通过网络想目标设备发起攻击，导致设备停止运行。这种工控设备很多都需要国外提供的，出问题也要邮寄回国外，这需要引起大家注意。

法国施耐德电气Modicon M580存在协议绕过漏洞，只要绕过校验获取数据包，就可以进行攻击。 工控安全事件值得大家关注。

---

16*.一种利用多个未知安全漏洞针对流行品牌企业级网关的攻击挑战

办公室“上帝视角”，为什么我上班时看的股票信息被别人知道了。

背景知识
办公网关设备是唯一将企业网络与互联网分割的边防。许多企业错误地认为企业网络是一个安全的环境，服务于企业的网络产品安全性要普遍优于家用设备。事实并非如此。
攻击者一旦获取企业网关设备控制权后，能够窃取终端用户行为信息，可能导致商业jian谍活动，泄露商业机密及个人敏感信息。

实验团队：
（乐清小俊杰、w0lfzhang）

演示效果：现场选手利用漏洞，获得现场被害者浏览的网页信息，如正在浏览的股票。

脑洞场景：假如一个基金的股票分析师做了很多很不错的分析，一些商业竞争对手对他关注哪些股票非常感兴趣，雇佣了一些这种“黑客”团队对目标设备进行攻击。通过企业级网关控制这些目标路由器之后，就可以查看分析师每天关注的股票代码。可能在一个大基金公司要出售股票之前，提前埋伏好、获得一些非法的利益。

个人理解&技术解析：
通过企业级网关设备（D-Link di企业路由器）攻击办公室软件，模拟基金股票分析师。商业对手对他关注的信息很感兴趣，控制路由器之后，就能看到目标人所关注的内容，从而非法获利。获取网关协议，发送浏览记录、文件、邮件都被获取，后续如果做端口镜像，能不断获取信息。

端口镜像（Port Mirroring） 指将指定的源端口某些报文，镜像到指定的镜像目的端口，而不影响正常报文转发的功能。端口镜像对特定端口的数据流量映射到监控端口，以便集中使用数据捕获软件进行分析；端口镜像顾名思义就是针对端口所做的镜像操作。在一些交换机中，我们可以通过对交换机的配置来实现将某个端口上的数据包，拷贝一份到另外一个端口上。

个人觉得和韩国的那个比较类似，DNS劫持监听网络流量，接着获取浏览的股票信息。

一个企业网关漏洞和萌新的距离有多远？
(1) 一个目标 -> dlink企业级路由器
(2) 一个可以模拟的固件 -> di-8004W
(3) 一个反编译工具 -> ghidra
(4) 一场geekpwn -> 让大家认识你的机会

需要挖掘什么呢？
(1) 未认证的页面有哪些？
(2) 认证是否可以被绕过？
(3) 是否除了Web意外的服务开放
这样就能挖掘大部分的漏洞。

PS：后续希望能深入学习路由器的root权限如何获取呢？并尝试劫持DNS。

---

17*.一种利用未知安全漏洞针对多款安卓手机的攻击挑战

坏人是怎么知道我的定位信息？

背景介绍
在地铁、公交车里，在餐厅、商场、游乐园，越来越多的人专注地低头面对手机屏幕，可以说手机和人形影不离。因此，手机也被喻为“人类的新器官”。手机一旦被恶意攻击，你的“新器官”变成了别人的“监视器”，你的定位变成了攻击者的囊中之物。

PS：哎，手机像素感人！只能靠耳听手写了 o(╥﹏╥)o

实验团队：
腾讯移动安全实验室（韩紫东、韩景维）

实验过程：
浏览网页之后会下载应用，绕过安全校验，通过该软件获取被害者GPS地理位置信息。选手搭建服务器并上传二维码，受害者去扫描这个二维码，伪装成抖音等APP，点击允许获取定位权限，获取GPS地址，接着转换为所在城市和地名匹配起来。

这里有一个疑问：他是怎么在手机上设置虚拟地址的呢？用的什么软件呢？是通过虚拟定位吗？后续尝试学习手机端数据如何截取，地理位置如何获取等？最后挑战者成功获取中国香港的地址。

详细过程：

• 成熟的扫描系统、丰富的利用经验
• 众多品牌手机、原生态应用程序存在漏洞
• 经过组合利用，可以实现远程安装、调起等功能
• 攻破三台手机，最多一台手机利用7个漏洞
• 厂商响应快

实验目标：

• 提高手机厂商原生应用的安全性
• 提高用哦胡使用手机的环境安全
• 打击灰、黑产业

---

18*.一场利用多个未知漏洞控制大型园区智能系统的攻击演示

全区监控、智慧大屏、智能停车，智慧园区为何沦为游乐园。

实验团队：
吴中安全实验室

实验过程：
通过实现攻击车辆初入管理系统（最高权限出入园区）、摄像头管理系统、园区大屏幕系统，获取摄像头管理权限，然后让摄像头不显示，隐藏行踪；接着进行园区大屏幕管理系统破解，上传替换视频造成恐慌。智慧园区的安全问题未来也将成为重点。

---

总结

未知攻，焉知防。
博学而笃志，切问而近思。
当看到国内最顶尖的黑客们比赛和show time，真的被震撼了，也学到很多，更意识到如鸿沟般的差距。这场表演让我受益匪浅，感谢老师，感谢所有人，大家节日快乐。未来需要更加努力，也希望能成为他们中的一员，下次带娜女神来看大上海的夜景。继续加油~

(By:Eastmount 2019-11-04 晚上10点 http://blog.csdn.net/eastmount/ )