Pwn2Own 2023多伦多大赛目标和奖金发布

最新推荐文章于 2024-05-14 17:30:13 发布
最新推荐文章于 2024-05-14 17:30:13 发布
阅读量655 收藏
点赞数
文章标签: 网络 智能路由器
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247517057&idx=2&sn=5de1d5f0a80eb70e0ae35fa257b47dd5&chksm=ea94b2ebdde33bfdd2c28c0ef34861e12ec16a0e7647b35111eeafe98ca2f8113d2434415688&scene=126&sessionid=0
版权

dfd2ed681cc83f197a57ae213eb8e128.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

2023年 Pwn2Own 大赛将于10月24至27日在趋势科技多伦多代表处举行。本次大赛仍然可远程参赛且会向现场参赛的前几届大会的获胜者们补贴最高3000美元的差旅费。大赛将接待一定数量的希望到场并观摩大赛的与会人员。选择远程参赛的人员的报名截止日期同样是10月19日,需要提交参赛目标、完整解释利用链的详细白皮书以及在注册期间结束时提供如何运行该目标的指令,随后工作人员将代为运行参赛利用且全程将录像供观看。和以往一样,远程参赛人员可通过电话或视频聊天的方式,实时监控执行过程,但不同于现场参赛,远程参赛无法更改利用或脚本等,因此可能会降低获胜概率。

cdb565e962ad767c7deaa75f6e6c4fc6.png

本次大赛的联合赞助商是 Synology 公司,“SOHO Smashup” 类别也将回归。该类别要求参赛人员从路由器的外部接口开始攻陷路由器,并跳转到联网的另一台设备中。去年,DEVCORE 团队通过使用两个不同的栈缓冲溢出漏洞成功攻击 Mikrotik 路由器和佳能打印机,率先获胜并获得10万美元的奖励。另外,今年的监控类别将重新增加摄像头,而路由器类别将被删除。虽然ZDI仍然希望找到这些设备中的漏洞,但今年关注的是 SOHO Smashup 中的WAN接口而并非仅仅是LAN接口。除此以外与去年的大赛基本一样。2022年大赛共发放989,750万美元,今年是否会超过100万美元,我们将拭目以待。参赛人员仍将通过抽签方式决定出场次序。

本次大赛共分为7个类别:

  • 手机

  • SOHO Smashup

  • 监控系统

  • 家庭自动化系统

  • 打印机

  • 智能扬声器

  • NAS设备

手机

本次大赛原来的名称是“移动 Pwn2Own”,目标严格定位于手机。手机仍然是本次大赛的核心所在。和往常一样,这些手机将会运行各自操作系统的最新版本并安装了所有可用更新。本次大赛增加了这些目标的奖励额度以示鼓励。

在本类别中,参赛选手必须通过流量默认浏览器中的内容或者与如下短距离协议(NFC、WiFi或蓝牙)进行通信的方式,攻陷设备。该类别的奖金如下:

26d6dc7e13986dd45f940e240c5ff989.jpeg

谷歌和苹果设备也包括额外奖金。如果利用payload 以内核级别权限执行,则可额外获得5万美元的奖励和5个积分点。也就是说包含内核级别访问权限的完整利用链将获得30万美元的奖励(iPhone)和25万美元的奖励(Pixel)。

SOHO Smashup

随着很多人在家办公,企业发现网络边界也重新定位到家庭办公室。利用家庭路由器和消费者设备的威胁行动者可利用这些边界作为横向移动到企业资源的启动点。由于希望在大赛中体现这一点,因此将SOHO Smashup 类别重新加入大赛。参赛选手首先需要攻陷所选路由器上的WAN端口。一旦实现这一点,参赛选手需要跳转到并攻陷其它设备。参赛选手可在注册阶段自由选择任何路由器和家庭自动化系统、智能扬声器、打印机、监控系统或NAS设备的组合。如果可在30分钟内攻陷这两类设备,则可获得10万美元的奖励和10个积分点。

f7e1d14550d674b1e1418570b57f84ad.jpeg

监控系统

摄像头已成为我们日常生活中的一部分,无线摄像头出现在家庭、办公室和商店中。尽管存在隐私问题,但这些设备的安全性是攻击者的垂涎目标。参赛选手必须通过连接大赛网络的参赛选手笔记本攻击目标暴露的网络服务或目标的暴露特性。

99758e8ab4ffd7efb48ba8ca10d24220.jpeg

家庭自动化系统

很多摄像头和其它“智能”设备都与一个集中系统相连接。从灯、锁、恒温器、摄像头等,都可通过家庭自动化系统访问。当然,这意味着攻击者也可访问这些设别。其中一些最热门的智能系统也涵盖在本次大赛范围中。

44f95ec5e69ed99fd1e290d36c12eeb5.jpeg

打印机归来

近几年来,涉及打印机的利用频上新闻头条,勒索团伙将 PrintNightmare漏洞纳入利用工具包中。在去年大赛上,一台打印机最后播放马里奥主题。今年参赛选手又会带来什么惊喜呢?

b0331e976a631976563bef9484f28f75.jpeg

智能扬声器

智能扬声器在日常的音乐、新闻等方面发挥着很大作用,它们也成为目标攻击面。本次大赛共设四个目标。

ee2e50029c48a3872c5d117edbcb967d.jpeg

NAS设备

NAS 设备在本次大赛中返场,Synology 和西部数据公司也再次成为目标,另外,QNAP公司的 TS-464也在范围内。参赛选手必须通过连接大赛网络的笔记本攻陷遭暴露的目标网络服务。

818b420564e87f7efff0b490df5ef98d.jpeg

没有“破解冠军”卫冕的Pwn2Own大赛是不完整的。获得冠军的团队或个人将获得一座奖杯、一款可穿戴设备以及额外的6.5万个 ZDI 奖励积分。

大赛的具体规则可见:https://www.zerodayinitiative.com/Pwn2OwnToronto2023Rules.html。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

Mikrotik 终于修复 Pwn2Own 大赛上的 RouterOS 漏洞

VMware 修复在 Pwn2Own 大赛上发现的两个严重0day

Pwn2Own 2023温哥华大赛落幕   Master of Pwn 诞生

Pwn2Own 2023迈阿密大赛Master of Pwn诞生

2023 Pwn2Own 温哥华大赛公布目标和奖金

原文链接

https://www.zerodayinitiative.com/blog/2023/7/12/the-soho-smashup-returns-for-pwn2own-toronto-2023

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

fff05fdc7c120bc2cd4fd48ee2023e26.jpeg

5d71b1faea8036dc1b02f38476a3bff6.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   d056ac42c8a89de1a1b4f97f71ef417f.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 在exploits文件夹中使用python3运行HTTP服务器。 $ python3 -m http.server 80 通过Safari使用攻击者服务器的...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
pwn2own
weixin_34367257的博客
04-04 1073
Pwn2Own是全球最著名的黑客大赛之一,由美国五角大楼入侵防护系统供应商TippingPoint的DVLabs赞助,今年已经是第六届。 1比赛规则 参赛黑客们的目标是4大主流网页浏览器——IE、Firefox、Chrome和Safari,平台是在安装安全更新的Windows 7操作系统下运行,Safari浏览器将在安装苹果Mac OS X 10.6雪豹操作系统下运作,顺利攻破一个主流浏览器便...
Pwn2Own 2023迈阿密大赛Master of Pwn诞生
smellycat000的专栏
02-17 930
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士为期三天的2023迈阿密 Pwn2Own 大赛落下帷幕,Claroty 参赛团队以十次尝试十次成功,共获得9.85万美元的奖励,外加2.5万美元冠军奖金的战绩夺得Master of Pwn桂冠。大赛共分7个类别,它们分别是:虚拟机web浏览器企业应用服务器本地提权企业通信汽车01第一天比赛情况结果经过成功Claroty 团队(2)成功在“感应式自...
网络安全最出名的5大赛事,含金量贼高,每个网安人的梦!
最新发布
xiangxue666的博客
05-14 1426
网络安全最出名的5大赛事,含金量贼高,每个网安人的梦!
Pwn2Own 2023多伦多大赛落幕 Master of Pwn诞生
smellycat000的专栏
10-30 368
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士为期四天的Pwn2Own 多伦多2023大赛落下帷幕,Viettel 团队以18万美元的赏金和30个积分点获得 Master of Pwn大赛冠军。大赛共向发现58个唯一 0day 的研究团队发放共计近104万 (1038500) 美元的赏金。本文是对每天的比赛情况的编译。大赛目标奖金可点击了解:Pwn2Own 2023多伦多大赛目标奖金发布...
Pwn2Own 2023迈阿密春季黑客大赛公布目标奖金
smellycat000的专栏
12-06 1019
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士2023年2月14日至16日,以工控系统为主题的Pwn2Own 大赛将在迈阿密举行。本次比赛共分四个类别,且与往年不同,反映了ICS行业不断变化的现状以及SCADA系统目前面临的威胁。这四个类别是:OPC UA 服务器OPC UA 客户端数据网关Edge系统OPC UA 服务器类别OPC UA 是独立于平台的、基于服务的架构,它将单个OPC Cl...
2023 Pwn2Own 温哥华大赛公布目标奖金
smellycat000的专栏
01-13 1038
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士ZDI 发布博客文章指出,2023Pwn2Own温哥华大赛将在当地时间3月22日至24日举行。本次比赛仍然是混合模式,参赛选手可选择远程或现场参赛。特斯拉回归成为大赛合作伙伴。这次大赛共分7个类别,增加了Steam 虚拟机逃逸类别,即电动车的蒸汽引擎类别,以及其它新类别。另外,特斯拉Model 3和Model S也将成为目标,最高奖励是60万美...
Re2Own:著名的Pwn2Own的模仿
05-02
该存储库/项目是每年在著名的cansecwest会议上举办的著名Pwn2Own竞赛的模仿,该竞赛的目标是跨越各种平台和主机体系结构的各种目标。 从逆向工程师的角度来看,该项目的大部分工作将集中于理解漏洞研究的许多前沿...
google_pwn2own
04-10
总的来说,Pwn2own大赛对于提高软件安全性和推动漏洞修补起到了积极作用。通过这种公开的竞争,开发者可以了解到最新的攻击手段,并采取相应的措施进行防御。同时,安全研究人员的努力也得到了应有的认可和奖励,...
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
Pwn2Own竞赛第一天就发放195000美元漏洞奖励
NOSEC2019的博客
11-07 327
Pwn2Own Tokyo 2019竞赛的第一天,白帽子们展示了电视、路由器智能手机的漏洞,总共获得了19.5万美元的奖励。 这次竞赛是由Zero Day Initiative组织的,目标设备共有17款,承诺提供超过75万美元的现金和奖品。这也是Pwn2Own首次把Portal smart display和来自Facebook的Oculus Quest虚拟现实头盔列为目标。 参赛者在第一天总...
Pwn2Own黑客竞赛项目出炉,苹果、小米、华为均被明码标价
mozhe_的博客
09-06 1019
原文地址:https://www.hackeye.net/securityevent/16062.aspx 今年由趋势科技的Zero Day Initiative(ZDI)组织的以移动为主题的Pwn2Own黑客竞赛与以往有所不同,加入了物联网(IoT)设备的新类别。 活动将于11月13日至14日在日本东京举行的PacSec安全会议期间举行,名称已从Mobile Pwn2Own更改为Pwn2Ow...
Pwn2Own 2022多伦多大赛确定目标奖金
smellycat000的专栏
09-05 306
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士ZDI 宣布Pwn2Own 2022年秋季赛即第十届比赛将在2022年12月6日到8日在加拿大多伦多市举行。目前公布了奖金和赛事目标范围。ZDI表示希望选手能够亲自到多伦多参赛,并提供3000美元的差旅费,不过选手也可远程参赛。另外,ZDI还表示将开放部分观众席位,Pwn2Own大赛之前的冠军可申请成为观众,不过不提供现金奖励。本次大赛的联合赞助...
谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day
smellycat000的专栏
03-28 184
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周二,谷歌修复了 Chrome web浏览器中的7个漏洞,其中两个是在 Pwn2Own 2024温哥华大赛中发现。第一个0day是 CVE-2024-2887,是位于开放标准 WebAssembly 中的一个高危类型混淆漏洞。Manfred Paul 在大赛第一天演示了这个漏洞,通过构造的HTML页面即可用作双击远程代码执行 (RCE) 利用的...
首届Pwn2Own 汽车大赛目标奖金公布
smellycat000的专栏
08-30 136
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士ZDI将在2024年1月24日至26日日本东京举行的全球汽车大会上,主持首届专注于汽车系统的 Pwn2Own 大赛。ZDI 在今天宣布了大赛目标奖金大赛的三大主要目标包括:1、提供鼓励汽车研究的场所。研究人员可提交针对多种产品和平台的漏洞报告并获得经济奖励。2、激励厂商参与安全研究社区。链接全球的安全研究人员社区与汽车厂商,改进汽车安全性和弹...
Pwn2Own 2024温哥华大赛目标奖金公布
smellycat000的专栏
01-18 431
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士ZDI 指出,2024年的 Pwn2Own 大赛将于2024年3月20日至22日在温哥华 CanSecWest 举行。本次大赛共分8个类别,并将简化“汽车”类别并新增“云原生/容器”类别。本次大赛的总奖金池超过100万美元,合作伙伴是特斯拉。“汽车”类别将取消多层级目标,仅关注漏洞影响和在车辆目标组件中实现代码执行情况。对于某些目标而言,需要在多...
2023 羊城杯 pwn
01-02
2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比赛中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比赛中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参赛选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城杯pwn比赛将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比赛将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值