2019 Pwn2Own 东京大赛落下帷幕：Fluoroacetate 二人组蝉联三连冠

为期两天的2019年 Pwn2Own 大赛在东京落下帷幕。共有   支团队参赛，主办方共发出   美元的赏金，Fluoroacetate 二人组（Amat Cama 和 Richard Zhu）以19.5万美元和18.5个 Master of Pwn 积分点的成绩连续第三次摘得 Master of Pwn 的桂冠。以下是根据 ZDI 博客内容整理出的大赛回顾。

大赛第一天，主办方共为12个bug 颁发19.5万美元的赏金。参赛者共针对5大类的7个目标展开了9次成功的攻击尝试。大赛第二天也是大赛的最后一天，参赛者挑战的是多个类别中的5个目标，6次挑战成功。

第一天战绩

Fluoroacetate 二人组（Amat Cama 和 Ricard Zhu）在第一天针对的是索尼 X800G 电视机，这是Pwn2Own 大赛历史上首次针对电视机的攻击尝试，不过这个参赛老兵团队立即通过嵌入式 web 浏览器中的 JavaScript 越界 (OOB)读取漏洞获得 bind shell。为此，该团队获得1.5万美元的奖励和2个 Master of Pwn 积分点。

该团队在头一天的比赛中还尝试了大赛首次设置的“家庭自动化”类别。他们选择亚马逊 Echo Show 5 作为目标并将其放置在 RF 封装环境内以屏蔽外部干扰。他们通过 JavaScript 中的一个整数溢出漏洞攻陷了该设备并获得控制权。为此，该团队获得6万美元以及6个 Master of Pwn 积分点。

之后，该二人组再次返回电视机类别，尝试攻击三星 Q60 设备。虽然首次尝试失败，但第二次尝试时成功通过JavaScript 中的一个整数溢出漏洞获得该电视机的反向 shell。为此，他们获得2万美元及2个 Master of Pwn 积分点。

随后，该团队还通过 JavaScript 中的一个 bug 从堆栈中跳出提取了小米 Mi9中的图片。让我们静待打补丁后的有意思的 write-up 吧。为此，他们获得2万美元的奖励和2个 Master of Pwn 积分点。

Fluoroacetate 团队在第一天发出的最后一次挑战是配置 NFC 组件的三星 Galaxy S10。他们通过释放后漏洞导致的 JavaScript JIT 中的一个bug成功逃逸沙箱并从手机中拿到一张照片。他们只靠点击就完成攻击。最后他们获得3万美元的赏金以及3个 Master of Pwn 积分点。

第一天，他们以14.5万美元的赏金收官，并且以15个总积分点的成绩领先。

第二天战绩

Fluoroacetate 在第二天放弃攻击 Oppo F11 Pro 手机的基带组件，而是直接奔向同一个类别的三星 Galaxy S10。他们的恶意基站通过一个栈溢出漏洞将文件推送到目标手机。通过成功演示，他们获得5万美元的赏金以及5个积分点。这是三星手机连续第三年通过基带遭攻陷。

随后，该二人组转向 NETGEAR Nighthawk SmartWiFi Router (R6700) 的LAN接口。虽然他们成功进行了研究演示，但他们所使用的验证绕过是前一个参赛者的一部分，因此仅获得部分成功。

第二天的最后一站是 Fluoroacetate 二人组挑战三星 Galaxy S10 的 web 浏览器，他们通过一个整数溢出漏洞和 UAF 进行沙箱逃逸从而成功地提取照片。虽然演示成功，但由于上一个参赛者已经使用了部分漏洞链，因此并未获得赏金或积分点，但他们在整个挑战过程中未出现半点差池。

最终，Fluoroacetate 二人组以19.5万美元的赏金和18.5个积分点的成绩连续三年摘得 Master of Pwn 的桂冠。

第一天战绩

F-Secure Labs 四人组（Mark Barnes、Toby Drew、Max Van Amerongen和 James Loureiro）也针对 TP-Link AC 1750Smart Wifi 路由器发起挑战。虽然他们进行了成功的演示，但在 exploit 中使用了上一个参赛者找到的某些 bug，因此被视作部分成功且并未获得 Master of Pwn 的积分点，不过他们在路由器上的灯光展示仍然引人注目。

比赛头一天由F-Secure Labs 团队收尾，他们挑战的是web浏览器类别中的小米Mi9 手机，获得部分成功。他们通过几个逻辑漏洞链演示成功，但其中一个漏洞是厂商已知的，因此是部分成功，不过仍然获得2万美元的赏金以及2个 Master of Pwn 积分点。

第二天战绩

四人组在第二天首先挑战的是TP-Link AC 1750 Smart Wifi路由器的 WAN 接口，最终结合使用一个命令注入漏洞和某些不安全的默认配置获得代码执行权限。另外他们还让路由器展示“snake”，实实在在地炫了一把 LED 灯光技术。这次成功的演示为他们赢得2万美元的赏金和1个积分点。

四人组最后挑战的是配置 NFC 组件的小米 MI9 手机。为了从手机中提取照片，他们使用了特殊构造的 NFC 标记，从而触发了 NFC 组件中的一个 XSS 漏洞，并向受控制的多部手机中发送了一张图片。为此他们赢得3万美元的赏金和3个积分点。

最终，F-Secure Labs 团队共获得7万美元的赏金和6个积分点，名列第二。

第一天战绩

Pwn2Own 大赛新手Flashback 二人组（Pedro Ribeiro 和 Radek Domanski）第一天针对的是NETGEAR Nighthawk SmartWiFi Router (R6700) 的 LAN 接口。路由器类别也是本次大赛的新设类别，有多个参赛者决定通过这个类别一试身手。Flashback 团队通过堆缓冲溢出漏洞获得该路由器的 shell，为此获得5000美元的赏金和0.5个 Master of Pwn 积分点。

该团队随后尝试了路由器类别中 NETGEAR Nighthawk SmartWifi Router (R6700) 的 WAN 接口。尽管由于设备启动耗费了一些事件，但他们最终成功远程修改该路由器的组件，从而使 payload 在恢复出厂设备后仍然具备持久性，完美阐释了“持久性”的定义。为此他们获得2万美元的奖励，以及因成功演示而获得1个 Master of Pwn 积分点。

这个二人组还尝试攻击 TP-Link AC 1750 SmartWifi 路由器的 LAN 接口。他们共使用了三个不同的 bug（以命令注入漏洞开始）成功地在目标设备上执行代码。为此他们获得5000美元以及0.5个 Master of Pwn 积分点。

为此，该团队在第一次参加大赛的情况下第一天就获得3万美元的赏金。

第二天战绩

Flashback 团队继续选择挑战TP-Link AC 1750 Smart Wifi路由器。他们通过一个栈溢出漏洞和一个逻辑漏洞获得在设备的代码执行权限，从而获得2万美元的赏金和1个积分点。

最终，Flashback 团队首次参赛就以5万美元和4次成功演示完美启程 Pwn2Own 生涯。

这次东京比赛共发出31.5万美元的赏金同时购买了多款产品中的18个漏洞。现场厂商已经得到了这些漏洞的详情，并有90天的打补丁时间。

补丁公布后，我们将陆续推出这次大赛上带来的有意思的研究成果。

https://www.zerodayinitiative.com/blog/2019/11/6/pwn2own-tokyo-2019-day-one-results

https://www.zerodayinitiative.com/blog/2019/11/7/pwn2own-tokyo-2019-day-two-final-results

文内图：ZDI