2023年ChaMd5安全团队总结

资讯 1个月前 admin
29 0 0

自我介绍(老熟人可以过~)

ChaMd5 安全团队成立于 2016 年,专注于算法加解密、安全漏洞挖掘、CTF 竞赛及安全人才培养。至今团队成员有 200+ 人,分别来自阿里、滴滴、启明星辰、绿盟、知道创宇、奇安信、永信至诚、360、陌陌、牛盾、无声信息等安全公司,且也有部分在校学生与自由职业者。

自团队成立以来,曾荣获来自华为、微软、蚂蚁金服、百度、京东和滴滴等多家企业的致谢,向企业报告的漏洞合计超10w+。团队成员也曾多次在企业 CTF 赛事中获奖。ChaMd5 安全团队为维护企业安全建设而成立,竭尽全力培养安全人才,服务于各大企业。

Venom战队是ChaMd5旗下的一个CTF战队,成立于2018年,现有70多名成员,主要分布在各大高校,成立了一些学校的校队做血液循环输入,是一只年轻且具有活力的战队。2020年对外开放了内部团队训练平台CTFHub,供CTF爱好者学习使用。

团队名寓意:漫威宇宙中“毒液”的本名。虽然他们不一定很强,但是他们目标相同。即如剧情说的“打败他有多少概率,四舍五入等于没有”。我们坚信即使个体弱小。聚集在一起坚持下去也能迸发出强大的能量。从一开始的一无所有。到今天的荣誉满满。各位成员的努力拼搏,很好的诠释了毒液这个词。在未来,毒液也将继续前行,永不停歇…

正题

随着疫情的放开,以为网络安全来的春天,但迎来的是大量的甲乙方裁员,减员增效等名词,成为大家聊天的焦点,为了快速了解行业情况,也算是展望 2024 年,参加了很多会议看看大家都是怎么想的,这里感谢京东、滴滴、深信服、极棒、CCF、补天等会议的邀请,知道各大公司都不是那么景气,期待 2024 年的回暖,在各个组的努力都有不少的收获,下面跟大家总结下 ChaMd5 在 2023 年的成果以及对 2024 年的展望。

1、团队情况介绍

运营组(公众号):

发布文章共计 201 篇,其中技术文章 188 篇,有一大部分文章是由 CTF 组的 WP 贡献,现在广告便宜挺多的,谨慎筛选还是出现了一次,所以也没正经接到过广告,大部分都是团队的获奖和给粉丝争取的福利送书和抽奖,也就没有给投稿的师傅进行奖金发送,感谢投稿的师傅们,2024 年多接广告,然后多给师傅们补一些奖金,继续加油。

挖洞组:

  • 2023年京东SRC个人第三名(Str1am_)
  • 补天总榜个人排名第十(r00t4dm)
  • 2023年多点SRC年度第三(Cra5h)
  • 2023年TCL年度第四(Cra5h)
  • 2023年同程SRC个人年度第二(IT小丑)
  • 2023年滴滴SRC个人年度第五(IT小丑)
  • 2023年漏洞盒子团队第一季度 第三名
  • 2023年漏洞盒子团队第三季度 第二名
  • 2023年漏洞盒子团队第四季度 第三名

h1组:

  • Hilton Top3
  • FaceBook TOP5
  • Chrome TOP10
  • Visa TOP10
  • UPS TOP20
  • Dell TOP30
  • Zoom TOP35

CVE:

  • CVE-2023-40520
  • CVE-2023-38608
  • CVE-2023-32432
  • CVE-2023-32388
  • CVE-2023-32386
  • CVE-2023-27025
  • CVE-2023-25573
  • CVE-2023-28637

致谢:

  • Microsoft
  • Google
  • Apple
  • AT&T
  • Chrome

🔗:https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html

🔗:https://mp.weixin.qq.com/s/8O4Bn0n1EE8VMBJfreF2OQ

🔗:https://access.redhat.com/articles/66234

CTF 组(Venom):

  • 2022 年第五届强网拟态第九名
  • 2022 年安洵杯第七名
  • opsu3*dasctf 11月赛第七名
  • 论文情况——JCR 1 区期刊发表《Human-centric Computing and Information Sciences》

Iot、Car、ICS:

  • 2023 年看雪·第七届安全开发者峰会(2023 SDC)演讲《车联网——站在研发视角挖漏洞》

  • Black Hat USA Arsenal 2023 CLExtract: “An End-to-End Tool Decoding Highly Corrupted Satellite Stream from Eavesdropping”

  • Black Hat USA 2023 Arsenal: “AutoSuite: An Open-Source Multi-Protocol Low-Cost Vehicle Bus Testing Framework”

  • 2023 CCF中国智能汽车学术年会 演讲《智能汽车安全攻防之道:攻击路径脆弱点剖析》

  • Securecomm2023 网络安全会议 演讲《基于符号执行技术的PDF文档恶意指标提取技术》
  • 浙江大学工业安全学术研讨会 学术报告《攻防对抗之工业控制系统的沦陷》
  • 工业信息安全技能大赛技术闭门沙龙 演讲《工业控制系统实战攻击与防御》

  • The 4th AutoCS 2023 智能汽车信息安全大会《汽车漏洞的生命周期》
  • 团队成员参与编写了中汽研的智能网联汽车蓝皮书-智能网联汽车网络安全与数据安全发展报告

  • 2023 年 CIICV 车联网(智能网联汽车)漏洞挖掘挑战赛 优胜奖

  • 2023 年 WIDC 世界智能驾驶挑战赛 线上第二名

  • 第三届中国(沈阳)智能网联汽车大赛金奖-冠军

致谢:
  • 微软
  • ikuai
  • 锐捷
  • Asus
  • Tenda
  • Tplink 发现其路由器未知安全漏洞
  • CNNVD-2023-690273*** 空客A350机载信息娱乐系统逃逸
  • Cisco 路由器设备授权RCE CVE-2023-20045、CNVD-2023-22743
  • Vigor 路由器设备授权RC ECVE-2023-24229
  • RouterOS 软路由系统堆栈消耗 CVE-2023-24094
  • Hanwha camera cve-2023-5037、cve-2023-5038
  • QNAP Pre-auth RCE, CVE-2023-23369

区块链组:

  • 2023 年 MetaTrustCTF 参与命题
  • 2023 年 NumenCTF 第十四名
  • 2023 年 T00ls 论坛六月份线下沙龙演讲《链上洗钱与反洗钱》

AI(小姐姐带队):

  • 2023“中国软件杯”大学生软件设计大赛 全国一等奖

  • 2023 “天马杯”全国高校科技创新大赛——3D数字人驱动赛道 Rank1 (SOLO)

  • 2023 第二届广州·琶洲算法大赛——智能交通CV大模型赛题 Rank1

  • 2023 天池BMW第三届黑客马拉松——虚拟协同合作赛道&总决赛 Rank1

  • 2023 科大讯飞AI开发者大赛——大视角差图像特征提取及匹配挑战赛 Rank1

  • 2023 第二届粤港澳大湾区(黄埔)国际算法算例大赛——看视频说话 Rank2 (Prize Money 200,000 RMB)

  • 2023 第二届粤港澳大湾区(黄埔)国际算法算例大赛——路侧毫米波雷达标定与目标跟踪 Rank2 (Prize Money 200,000 RMB)

  • 2023 科大讯飞AI开发者大赛——AI量化模型预测挑战赛 Rank3/1717

  • 2023 科大讯飞AI开发者大赛——SLAM建图精度挑战赛 Rank3/338

  • 2023 科大讯飞AI开发者大赛——空气质量指数预测挑战赛 Rank3/185

  • 2023 CVPR 2023 1st foundation model challenge: Track1 Rank5/1006

  • 2023 Kaggke RSNA Screening Mammography Breast Cancer Detection 银牌 (46/1687)

  • 2023 Kaggke Stable Diffusion——Image to Prompts 银牌 (25/1231)

  • 2023 数字医疗算法应用创新大赛 生物共融与数字疗法应用赛道 Rank8 优胜奖

  • 2023 International Conference on Neural Computing for Advanced Applications Chinese Diabetes Question Classification Evaluation Task Rank7

  • 2023 WAIC黑客马拉松——工业赛道“AI引领未来工厂”工业人工智能竞赛 蓝鼎奖

  • 2023 天池魔搭社区Create@AI黑客马拉松 人气队伍奖

  • 2023 “领军挂帅,就在佛山” 佛山助企引才精英人才大赛——金融行业赛道 点睛探花奖(三等奖)

  • 2023 第一届全国互联网创新大赛 赛题一:面向生产设备多源数据融合的预测性维护和故障智能诊断 初赛Rank2 复赛Rank11

  • 2023 科大讯飞开发者大赛 农民身份识别挑战赛 Rank28/1163

  • 2023 百度大模型应用挑战赛 优秀作品奖

  • 2023 阿里云Create@AI创客松 最具实用价值奖

  • 2023 丝绸之路女性创新设计大赛——工业产品类 优秀奖

  • 2023 第一届OPENAIGC开发者大赛 高校组 优秀作品奖

  • 2023 百度智能云千帆大模型平台马拉松 创新实验奖

  • 2023 第四届综合交通创新创业大赛 优秀奖

  • 2023 “大运河杯”数据开发应用创新大赛——数字信用赛道 三等奖(Rank4)

  • 2023 北京大数据技能大赛——数据传感创新赛道 最佳应用创新奖

  • 论文情况——Jiang, et.al 3VFP: Three-View Feature Propagation Based Entity Alignment. icbdm, 2023

病毒样本分析组:

共发布分析样本文章 27 篇

CTF出题组:

参与赛事出题赛事 6 场

2、产品成果

ChaMd5 招聘

针对网站发布的 63 个岗位进行了一些分析,希望对大家学习方向、城市选择以及跳槽有所帮助。

岗位占比:
  • 安全工程师/专家:这是一个大类,包括但不限于SDL安全工程师、高级安全工程师等,占比约为24%。

  • 渗透测试/攻防方向:这类岗位涵盖了从初级的渗透测试工程师到资深的安全研究员等,占比约为28%。

  • 数据安全/算法方向:包括数据安全算法专家、安全数据分析&挖掘工程师等,占比约为16%。

  • 应用安全方向:如应用安全专家、应用安全高级工程师等,占比约为12%。

  • 其他方向:如移动安全工程师、服务端应用安全工程师等,占比约为19%。

公司占比:
  • 淘天集团:包括反作弊风控策略运营、情报分析专家等,占比约为71%。
  • 北京零鉴科技:包括情报分析工程师等,占比约为36%。
  • Entropool:包括大模型算法工程师(多名岗位)、初级大数据工程师等,占比约为29%。
  • 奇安信:包括漏洞挖掘与利用工程师等,占比约为29%。
  • Shopee安全团队:包括攻防漏洞专家(漏洞方向)等,占比约为21%。
  • 网易互娱:包括安全合规工程师、安全运营工程师(渗透方向)等,占比约为21%。
  • 贝壳找房:包括移动安全工程师等,占比约为14%。
  • 京东:包括京东安全运营实习生、SDL安全工程师等,占比约为14%。
  • 高德:包括数据安全算法专家、应用安全专家等,占比约为14%。
  • 阿里巴巴集团安全:包括安全研发工程师(流量安全方向),占比约为14%。
城市占比:
  • 北京:作为中国的首都和科技中心,北京拥有最多的安全岗位,占比约为42%。

  • 杭州:由于阿里巴巴集团总部位于此,杭州在安全岗位方面也较多,占比约为15%。

  • 广州:作为南方的重要城市,广州有网易互娱等大型互联网公司,占比约为12%。

CTFIoT

如下是 TOP10 的文章,没想到 AI 的文章这么靠前。

  1. 如何让大模型生成解码阶段的结果更好:从Beam Search到top_k、top_p等参数的实现原理与脚本实现 https://www.ctfiot/110138.html
  2. 免登录读取别人的WX聊天记录 https://www.ctfiot/117934.html
  3. 大规模语言模型训练必备数据集-The Pile:涵盖22类、800GB的多样性文本数据集概述 https://www.ctfiot/100952.html
  4. Grafana漏洞利用清单 https://www.ctfiot/110322.html
  5. 某友天翼应用虚拟化系统漏洞分析 https://www.ctfiot/109312.html
  6. TotolinkT10漏洞分析 https://www.ctfiot/116995.html
  7. 【复现】Exchange Server远程代码执行漏洞(CVE-2023-38182)风险通告 https://www.ctfiot/129123.html
  8. 通过手机号码查找Google账户 https://www.ctfiot/98719.html
  9. 【教程】重磅!PS5正式破解,折腾及安装游戏详解 https://www.ctfiot/137825.html
  10. 「 深蓝洞察 」2022 年度最“不可赦”漏洞 https://www.ctfiot/100676.html

威胁情报推送

这个在群里的大家都有看见推送文章、CVE、APT 等内容,我们的设计是为了大家很及时高效的收到情报,对现在的资料和漏洞情况进行掌握,并对这些事进行处理,该产品现在已经由企业进行了订阅服务,提供了 CVE 查询接口推送自己公司的软件,如果有兴趣的欢迎进行交流。

CTFHUB

  • 新增用户 28781 个
  • 全部用户全年合计开启环境 378261 个,平均每天开启 1036 个
  • 全部用户合计完成技能 398251 个,平均每天完成 1091 个
  • 全部用户合计完成真题 14681 个
  • 全部用户合计获得经验 248876 点
  • 全部用户合计关注赛事 999 个
  • 全年用户合计签到 116665 次,其中网站签到 79007 次,微信公众号签到 37658 次
  • 全部用户通过签到获得金币 2509108 个
  • 全部用户通过完成题目获得金币 15123410 个
  • 全年更新题目环境 221 个
  • 全年更新赛事信息 236 个
  • 全年更新工具信息 6 个
  • 最受欢迎的工具类型 Web/Misc/暴力破解/SQL注入/抓包
  • 最受环境的环境类型 Web/Misc/网鼎杯/SQL注入/Crypto/Reverse
  • 至今最长打卡记录 @3w4ter 累计打卡 1419 天,自上线至今从未断签

3、团队书

已发布:

1. CTF实战


2023年ChaMd5安全团队总结


2023年ChaMd5安全团队总结

感谢ChaMd5战队的其他24名参与编写的战队成员,他们分别是b0ldfrev、badmonkey、bingo、董浩宇、eevee、饭饭(范鹏)、ggb0n、LFY、luckyu、南宫十六、Pcat、prowes5、PureT、Reshahar、thinker、天河、童帅、Vanish、waynehao、wEik1、Windforce17、xq17、逍遥自在、张智恒,感谢你们为本书创作过程中提供的大力支持,你们的鼓励和帮助引导我们能顺利完成全部书稿。

感谢22位行业专家一致好评,腹黑、高剑、郭永健、侯 亮(Micropoor)、iczc、姜楠、康健、Kevin2600、李东宏、李子奇、林 晨、刘新鹏、刘 叶、曲子龙、Venenof7、王 强、杨 卿、杨雅儒、叶猛、翟健宏、张 璇、周坤。

2. ARM汇编与逆向工程

2023年ChaMd5安全团队总结

已经在印刷当中,年后会发布,感谢参与翻译的师傅吴优(大中午啊)、卢太学(Licae)黄盛炜(Jaylen)、童海涛(Ryze)、吴凯涛(VinceKT)。

编写中:

IoT 方向的书,敬请期待

4、资助

资助两名高三学生


2023年ChaMd5安全团队总结


2023年ChaMd5安全团队总结

5、接下来要做的事情

新成立案件组、Mini-Venom、Iot、Car、ICS、AI、病毒样本分析、区块链持续招人

Mini-Venom加入条件: 欢迎大二以下/大二以上但有考研打算/已保研的同学(总的来说就是可以保证比赛时间)投递简历!请尽可能详细介绍自己,以加入对应的组哦。申请接收邮箱:[email protected]

公示各组负责人情况

  • SRC组,由IT小丑 更换为D
  • Venom,由L1n3继续负责
  • Mini-Venom,由carl柘狐继续负责
  • IoT,由EP继续负责
  • Car,由lxonz继续负责
  • ICS,由bingo继续负责
  • 区块链,由大魔头闪电继续负责
  • 逆向病毒分析,由童帅更换为蒙奇奇
  • AI,由Vaew继续负责,H1组新负责人: Z

感谢原组长的努力,打造了今天比较强大的队伍,希望接任人员继续努力完善不足和突破团队的成绩。

碎碎念

人生,其实是一场自己跟自己的博弈,世界没有感同身受,你可以消沉,也可以抱念,甚至可以崩溃,但你一定要懂得自愈。

凡事乐观以对,就没有越不过的高山,把得失看淡一点,得之是幸,不得云淡风轻,拿得起放得下的人,才是生活的赢家。

一辈子不长,别让人生输给了心态。前方再暗,点亮一盏心灯,一切都会豁然开朗。

福利抽奖啦!
我们仅需要你:
1.关注ChaMd5安全团队公众号
2.于2024.1.30早上8点之前转发本条推文至朋友圈(凭转发截图兑奖,开奖前删除无效)
3.点击抽奖小程序进行抽奖

2023年ChaMd5安全团队总结

end


招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析 长期招新

欢迎联系[email protected]



2023年ChaMd5安全团队总结

原文始发于微信公众号(ChaMd5安全团队):2023年ChaMd5安全团队总结

版权声明:admin 发表于 2024年1月28日 上午8:01。
转载请注明:2023年ChaMd5安全团队总结 | CTF导航

相关文章