ChaMd5 安全团队成立于 2016 年,专注于算法加解密、安全漏洞挖掘、CTF 竞赛及安全人才培养。至今团队成员有 200+ 人,分别来自阿里、滴滴、启明星辰、绿盟、知道创宇、奇安信、永信至诚、360、陌陌、牛盾、无声信息等安全公司,且也有部分在校学生与自由职业者。
自团队成立以来,曾荣获来自华为、微软、蚂蚁金服、百度、京东和滴滴等多家企业的致谢,向企业报告的漏洞合计超10w+。团队成员也曾多次在企业 CTF 赛事中获奖。ChaMd5 安全团队为维护企业安全建设而成立,竭尽全力培养安全人才,服务于各大企业。
Venom战队是ChaMd5旗下的一个CTF战队,成立于2018年,现有70多名成员,主要分布在各大高校,成立了一些学校的校队做血液循环输入,是一只年轻且具有活力的战队。2020年对外开放了内部团队训练平台CTFHub,供CTF爱好者学习使用。
团队名寓意:漫威宇宙中“毒液”的本名。虽然他们不一定很强,但是他们目标相同。即如剧情说的“打败他有多少概率,四舍五入等于没有”。我们坚信即使个体弱小。聚集在一起坚持下去也能迸发出强大的能量。从一开始的一无所有。到今天的荣誉满满。各位成员的努力拼搏,很好的诠释了毒液这个词。在未来,毒液也将继续前行,永不停歇...
随着疫情的放开,以为网络安全来的春天,但迎来的是大量的甲乙方裁员,减员增效等名词,成为大家聊天的焦点,为了快速了解行业情况,也算是展望 2024 年,参加了很多会议看看大家都是怎么想的,这里感谢京东、滴滴、深信服、极棒、CCF、补天等会议的邀请,知道各大公司都不是那么景气,期待 2024 年的回暖,在各个组的努力都有不少的收获,下面跟大家总结下 ChaMd5 在 2023 年的成果以及对 2024 年的展望。
发布文章共计 201 篇,其中技术文章 188 篇,有一大部分文章是由 CTF 组的 WP 贡献,现在广告便宜挺多的,谨慎筛选还是出现了一次,所以也没正经接到过广告,大部分都是团队的获奖和给粉丝争取的福利送书和抽奖,也就没有给投稿的师傅进行奖金发送,感谢投稿的师傅们,2024 年多接广告,然后多给师傅们补一些奖金,继续加油。
2023年京东SRC个人第三名(Str1am_)
补天总榜个人排名第十(r00t4dm)
2023年多点SRC年度第三(Cra5h)
2023年TCL年度第四(Cra5h)
2023年同程SRC个人年度第二(IT小丑)
2023年滴滴SRC个人年度第五(IT小丑)
2023年漏洞盒子团队第一季度 第三名
2023年漏洞盒子团队第三季度 第二名
2023年漏洞盒子团队第四季度 第三名
Hilton Top3
FaceBook TOP5
Chrome TOP10
Visa TOP10
UPS TOP20
Dell TOP30
Zoom TOP35
CVE-2023-40520
CVE-2023-38608
CVE-2023-32432
CVE-2023-32388
CVE-2023-32386
CVE-2023-27025
CVE-2023-25573
CVE-2023-28637
Microsoft
Apple
AT&T
Chrome
🔗:https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop\_16.html
🔗:https://mp.weixin.qq.com/s/8O4Bn0n1EE8VMBJfreF2OQ
🔗:https://access.redhat.com/articles/66234
2022 年第五届强网拟态第九名
2022 年安洵杯第七名
opsu3*dasctf 11月赛第七名
论文情况——JCR 1 区期刊发表《Human-centric Computing and Information Sciences》
2023 年看雪·第七届安全开发者峰会(2023 SDC)演讲《车联网——站在研发视角挖漏洞》
Black Hat USA Arsenal 2023 CLExtract: “An End-to-End Tool Decoding Highly Corrupted Satellite Stream from Eavesdropping”
Black Hat USA 2023 Arsenal: “AutoSuite: An Open-Source Multi-Protocol Low-Cost Vehicle Bus Testing Framework”
2023 CCF中国智能汽车学术年会 演讲《智能汽车安全攻防之道:攻击路径脆弱点剖析》
Securecomm2023 网络安全会议 演讲《基于符号执行技术的PDF文档恶意指标提取技术》
浙江大学工业安全学术研讨会 学术报告《攻防对抗之工业控制系统的沦陷》
工业信息安全技能大赛技术闭门沙龙 演讲《工业控制系统实战攻击与防御》
The 4th AutoCS 2023 智能汽车信息安全大会《汽车漏洞的生命周期》
团队成员参与编写了中汽研的智能网联汽车蓝皮书-智能网联汽车网络安全与数据安全发展报告
2023 年 CIICV 车联网(智能网联汽车)漏洞挖掘挑战赛 优胜奖
2023 年 WIDC 世界智能驾驶挑战赛 线上第二名
第三届中国(沈阳)智能网联汽车大赛金奖-冠军
微软
ikuai
锐捷
Asus
Tenda
Tplink 发现其路由器未知安全漏洞
CNNVD-2023-690273*** 空客A350机载信息娱乐系统逃逸
Cisco 路由器设备授权RCE CVE-2023-20045、CNVD-2023-22743
Vigor 路由器设备授权RC ECVE-2023-24229
RouterOS 软路由系统堆栈消耗 CVE-2023-24094
Hanwha camera cve-2023-5037、cve-2023-5038
QNAP Pre-auth RCE, CVE-2023-23369
2023 年 MetaTrustCTF 参与命题
2023 年 NumenCTF 第十四名
2023 年 T00ls 论坛六月份线下沙龙演讲《链上洗钱与反洗钱》
2023“中国软件杯”大学生软件设计大赛 全国一等奖
2023 “天马杯”全国高校科技创新大赛——3D数字人驱动赛道 Rank1 (SOLO)
2023 第二届广州·琶洲算法大赛——智能交通CV大模型赛题 Rank1
2023 天池BMW第三届黑客马拉松——虚拟协同合作赛道&总决赛 Rank1
2023 科大讯飞AI开发者大赛——大视角差图像特征提取及匹配挑战赛 Rank1
2023 第二届粤港澳大湾区(黄埔)国际算法算例大赛——看视频说话 Rank2 (Prize Money 200,000 RMB)
2023 第二届粤港澳大湾区(黄埔)国际算法算例大赛——路侧毫米波雷达标定与目标跟踪 Rank2 (Prize Money 200,000 RMB)
2023 科大讯飞AI开发者大赛——AI量化模型预测挑战赛 Rank3/1717
2023 科大讯飞AI开发者大赛——SLAM建图精度挑战赛 Rank3/338
2023 科大讯飞AI开发者大赛——空气质量指数预测挑战赛 Rank3/185
2023 CVPR 2023 1st foundation model challenge: Track1 Rank5/1006
2023 Kaggke RSNA Screening Mammography Breast Cancer Detection 银牌 (46/1687)
2023 Kaggke Stable Diffusion——Image to Prompts 银牌 (25/1231)
2023 数字医疗算法应用创新大赛 生物共融与数字疗法应用赛道 Rank8 优胜奖
2023 International Conference on Neural Computing for Advanced Applications Chinese Diabetes Question Classification Evaluation Task Rank7
2023 WAIC黑客马拉松——工业赛道“AI引领未来工厂”工业人工智能竞赛 蓝鼎奖
2023 天池魔搭社区Create@AI黑客马拉松 人气队伍奖
2023 “领军挂帅,就在佛山” 佛山助企引才精英人才大赛——金融行业赛道 点睛探花奖(三等奖)
2023 第一届全国互联网创新大赛 赛题一:面向生产设备多源数据融合的预测性维护和故障智能诊断 初赛Rank2 复赛Rank11
2023 科大讯飞开发者大赛 农民身份识别挑战赛 Rank28/1163
2023 百度大模型应用挑战赛 优秀作品奖
2023 阿里云Create@AI创客松 最具实用价值奖
2023 丝绸之路女性创新设计大赛——工业产品类 优秀奖
2023 第一届OPENAIGC开发者大赛 高校组 优秀作品奖
2023 百度智能云千帆大模型平台马拉松 创新实验奖
2023 第四届综合交通创新创业大赛 优秀奖
2023 “大运河杯”数据开发应用创新大赛——数字信用赛道 三等奖(Rank4)
2023 北京大数据技能大赛——数据传感创新赛道 最佳应用创新奖
论文情况——Jiang, et.al 3VFP: Three-View Feature Propagation Based Entity Alignment. icbdm, 2023
共发布分析样本文章 27 篇
参与赛事出题赛事 6 场
针对网站发布的 63 个岗位进行了一些分析,希望对大家学习方向、城市选择以及跳槽有所帮助。
安全工程师/专家:这是一个大类,包括但不限于SDL安全工程师、高级安全工程师等,占比约为24%。
渗透测试/攻防方向:这类岗位涵盖了从初级的渗透测试工程师到资深的安全研究员等,占比约为28%。
数据安全/算法方向:包括数据安全算法专家、安全数据分析&挖掘工程师等,占比约为16%。
应用安全方向:如应用安全专家、应用安全高级工程师等,占比约为12%。
其他方向:如移动安全工程师、服务端应用安全工程师等,占比约为19%。
淘天集团:包括反作弊风控策略运营、情报分析专家等,占比约为71%。
北京零鉴科技:包括情报分析工程师等,占比约为36%。
Entropool:包括大模型算法工程师(多名岗位)、初级大数据工程师等,占比约为29%。
奇安信:包括漏洞挖掘与利用工程师等,占比约为29%。
Shopee安全团队:包括攻防漏洞专家(漏洞方向)等,占比约为21%。
网易互娱:包括安全合规工程师、安全运营工程师(渗透方向)等,占比约为21%。
贝壳找房:包括移动安全工程师等,占比约为14%。
京东:包括京东安全运营实习生、SDL安全工程师等,占比约为14%。
高德:包括数据安全算法专家、应用安全专家等,占比约为14%。
阿里巴巴集团安全:包括安全研发工程师(流量安全方向),占比约为14%。
北京:作为中国的首都和科技中心,北京拥有最多的安全岗位,占比约为42%。
杭州:由于阿里巴巴集团总部位于此,杭州在安全岗位方面也较多,占比约为15%。
广州:作为南方的重要城市,广州有网易互娱等大型互联网公司,占比约为12%。
如下是 TOP10 的文章,没想到 AI 的文章这么靠前。
如何让大模型生成解码阶段的结果更好:从Beam Search到top_k、top_p等参数的实现原理与脚本实现 https://www.ctfiot/110138.html
免登录读取别人的WX聊天记录 https://www.ctfiot/117934.html
大规模语言模型训练必备数据集-The Pile:涵盖22类、800GB的多样性文本数据集概述 https://www.ctfiot/100952.html
Grafana漏洞利用清单 https://www.ctfiot/110322.html
某友天翼应用虚拟化系统漏洞分析 https://www.ctfiot/109312.html
TotolinkT10漏洞分析 https://www.ctfiot/116995.html
【复现】Exchange Server远程代码执行漏洞(CVE-2023-38182)风险通告 https://www.ctfiot/129123.html
通过手机号码查找Google账户 https://www.ctfiot/98719.html
【教程】重磅!PS5正式破解,折腾及安装游戏详解 https://www.ctfiot/137825.html
「 深蓝洞察 」2022 年度最“不可赦”漏洞 https://www.ctfiot/100676.html
这个在群里的大家都有看见推送文章、CVE、APT 等内容,我们的设计是为了大家很及时高效的收到情报,对现在的资料和漏洞情况进行掌握,并对这些事进行处理,该产品现在已经由企业进行了订阅服务,提供了 CVE 查询接口推送自己公司的软件,如果有兴趣的欢迎进行交流。
新增用户 28781 个
全部用户全年合计开启环境 378261 个,平均每天开启 1036 个
全部用户合计完成技能 398251 个,平均每天完成 1091 个
全部用户合计完成真题 14681 个
全部用户合计获得经验 248876 点
全部用户合计关注赛事 999 个
全年用户合计签到 116665 次,其中网站签到 79007 次,微信公众号签到 37658 次
全部用户通过签到获得金币 2509108 个
全部用户通过完成题目获得金币 15123410 个
全年更新题目环境 221 个
全年更新赛事信息 236 个
全年更新工具信息 6 个
最受欢迎的工具类型 Web/Misc/暴力破解/SQL注入/抓包
最受环境的环境类型 Web/Misc/网鼎杯/SQL注入/Crypto/Reverse
至今最长打卡记录 @3w4ter 累计打卡 1419 天,自上线至今从未断签
已发布:
1. CTF实战
感谢ChaMd5战队的其他24名参与编写的战队成员,他们分别是b0ldfrev、badmonkey、bingo、董浩宇、eevee、饭饭(范鹏)、ggb0n、LFY、luckyu、南宫十六、Pcat、prowes5、PureT、Reshahar、thinker、天河、童帅、Vanish、waynehao、wEik1、Windforce17、xq17、逍遥自在、张智恒,感谢你们为本书创作过程中提供的大力支持,你们的鼓励和帮助引导我们能顺利完成全部书稿。
感谢22位行业专家一致好评,腹黑、高剑、郭永健、侯 亮(Micropoor)、iczc、姜楠、康健、Kevin2600、李东宏、李子奇、林 晨、刘新鹏、刘 叶、曲子龙、Venenof7、王 强、杨 卿、杨雅儒、叶猛、翟健宏、张 璇、周坤。
2. ARM汇编与逆向工程
已经在印刷当中,年后会发布,感谢参与翻译的师傅吴优(大中午啊)、卢太学(Licae)黄盛炜(Jaylen)、童海涛(Ryze)、吴凯涛(VinceKT)。
IoT 方向的书,敬请期待
资助两名高三学生
新成立案件组、Mini-Venom、Iot、Car、ICS、AI、病毒样本分析、区块链持续招人
Mini-Venom加入条件: 欢迎大二以下/大二以上但有考研打算/已保研的同学(总的来说就是可以保证比赛时间)投递简历!请尽可能详细介绍自己,以加入对应的组哦。申请接收邮箱:admin@chamd5.org
SRC组,由IT小丑 更换为D
Venom,由L1n3继续负责
Mini-Venom,由carl和柘狐继续负责
IoT,由EP继续负责
Car,由lxonz继续负责
ICS,由bingo继续负责
区块链,由大魔头闪电继续负责
逆向病毒分析,由童帅更换为蒙奇奇
AI,由Vaew继续负责,H1组新负责人: Z
感谢原组长的努力,打造了今天比较强大的队伍,希望接任人员继续努力完善不足和突破团队的成绩。
人生,其实是一场自己跟自己的博弈,世界没有感同身受,你可以消沉,也可以抱念,甚至可以崩溃,但你一定要懂得自愈。
凡事乐观以对,就没有越不过的高山,把得失看淡一点,得之是幸,不得云淡风轻,拿得起放得下的人,才是生活的赢家。
一辈子不长,别让人生输给了心态。前方再暗,点亮一盏心灯,一切都会豁然开朗。
福利抽奖啦!
我们仅需要你:
1.关注ChaMd5安全团队公众号
2.于2024.1.30早上8点之前转发本条推文至朋友圈(凭转发截图兑奖,开奖前删除无效)
3.点击抽奖小程序进行抽奖
end
招新小广告
ChaMd5 Venom 招收大佬入圈
新成立组IOT+工控+样本分析 长期招新
欢迎联系admin@chamd5.org
