
今年有幸第一次参加铸盾2026车联网线下攻防。这次人员组织和准备都比较匆忙而且我带的还是新笔记本好多环境都没调试好。有钱的话还是建议入手一台 Mac 笔记本能少很多麻烦。设备方面我们团队准备得也不算很充分。去之前开了一个小会议然后就坐高铁去现场了。我们提前一天到了。因为要到指定日期才能住进赛事方准备好的酒店所以我们先在外面的酒店住了一晚。那天晚上我甚至还在手搓一些攻防工作流在网上扒拉车辆的一些攻击面。因为这次比赛我确实准备得不够充分还是略显焦虑毕竟机会难得所以那天晚上比平时睡得更晚。到了周一中午吃了个饭就直接赶去赛事方的酒店。到那其实挺尴尬的发现赛事方准备的衣服和一些物料还没整理好不过好在可以提前办理入住。简单放完行李后我搜了一会车联网相关信息和攻击面。队长让我们一起下去签到我们这次队长取了一个很离谱的名字这里就不说了确实有点上不了台面。领取完衣服、工作证后我们就回房间开始整理自己的东西调试一些工具的 MCP 接口。工具这里大概介绍一下软件有 IDA、Jdax、ADB、Burp Suite、Wireshark、rabin2、Fact、Kali、Ubuntu 等硬件有 PCAN 总线分析仪、蓝牙适配器、无线网卡、A 对 A 的数据线、C 对 C 的数据线、一些针脚。至于其他无线射频设备就没有了大概就这么多。周二早上比赛日开始就下大雨也是天公不作美。到了现场先上去参加开幕式一堆领导发言致辞然后揭幕。搞这个活动的时候我就一直在观察其他队伍带了什么工具也一直在听他们聊天争取搞一些我们没有的信息补一下信息差。真的来了好多大佬反正国内有名的安全厂商都有实验室来一看就是那种有备而来拿奖的亚历山大。上午最后领导们先下去看汽车展览这些车都是国内现在有发布声明、但还没有售卖到市面上的车可以说都是最新的测试车。中午了我们这一帮红队就先去饭堂干饭当然是盒饭。而蓝队是一些厂商和裁判另外还有一些工作人员。午饭过后就直接到一楼签到开始攻防了。衰人的地方又来了对于我们这种第一次参加比赛的队伍上来就是一台无人车这里我用代词 E 指这台车。这个无人车的特点是啥呢我们光是找车辆开关就找了半天最后没招了去找裁判。E 车的车辆开关在左前轮那里有个特殊的开关具体是啥我忘了因为不是我开的嘛。进了车门后车上有个大屏幕然后我们开始分工我负责 Wi-Fi 协议的信息搜集、钓鱼 Wi-Fi 以及 Web 端渗透一人负责蓝牙中继重放一人负责 CAN 总线报文分析队长负责逆向这一块。但是第一天我们不知道可以要 APP 以及车主账号登录中控屏也没什么可操控的需要账号才能进行更多车机操作要用安全员账号才能连上车机。Wi-Fi 这里也没有密码车机账号密码弱口令也试过了我也尝试爆破 Wi-Fi但是没有爆破出密码。然后我就构建钓鱼 Wi-Fi试着能不能让车机主动连接我再做 DNS 劫持但这里并没有成功。蓝牙这一块更是没有进展只看到中控上有个 Wi-Fi 的标志PIN 码也没办法爆破。接着只能试最后一条路线就是去找车辆的 CAN 总线接口或者 T-BOX 接口。它那个线在一块板子的里面由于第一次来加上赛事规则说不能拆机破坏车辆我们也就不敢拆了。这个车僵住的时间里我也没有闲着我去看看其他队有什么突破顺便看看还有哪些车辆可能比较好打。挨个车标摸过去这里关于车辆的一些信息都是遮挡的只能靠自己摸和一些经验判断。看哪些车网上信息稍微多一点我就一台台摸过去统计了一些信息也偷偷看他们用什么工具打顺便看了一眼榜单。大家好像都没什么成果的样子分数都不高。接着我们就利用赛事规则换车了一天可以更换两次车。E 车对于我们而言实在没有什么攻击面可打于是我们换到了 W 车W 车是国外知名品牌的车。终于有一个正常的车辆可以打了然后我们就按照之前的分工继续干。这里我开始注意比赛手册的规则AI 搞出车机内置模型就有基础分。这台车的模型终于在多次询问 AI 后拿下来了是某 G 的配置。CAN 总线分析这边判断报文成功搞出了 seed 种子绕过了 0x27 安全访问让车辆鸣笛、熄火都可以这里我们算是拿了一些分。Wi-Fi 协议这一块我目前还是没什么突破主要还是本人这里搞错了一些东西。W 车也没找到进入工程模式的入口。蓝牙协议方面我们的蓝牙适配器有点问题还是没有搞出其他有用的东西后续还一直跟裁判扯皮这个漏洞。最后一次换车机会换成了 K 车也是在 K 车上我们才得知可以要车主 APP也算是裁判好心跟我说后面逆向也用起来了。K 车好就好在能用 AI 搞出这个加密算法利用这个加密算法进入工程模式后来到 ADB 连接用了某个 0day进入 ADB 直接就是 root 权限。再加上这个车机的 AI 也拿了一点分剩下的时间就是在跟裁判扯皮。然后我搜集了一些其他队伍的信息还是有挺多人来问我们是哪个队的。第一天大家都没啥分我们的漏洞也没审完就此结束了。我印象比较深的是我们应该是最晚走的那几个队伍。一般来说晚上七点就可以签退走人了。第一天应该淘汰了四支没有交漏洞的队伍我们也跟一些和我们组织性质类似的队伍交流聊了一下心得。晚上我自己复盘还是在整理 Wi-Fi 协议的问题搞到很晚实在熬不到了就睡了。周三起来一到现场发现我们是第二名了说明裁判昨晚审核漏洞审核到很晚。今天要打的是 I 车昨天有一队已经打出来一个远控直接搞了 5000 分很夸张。我看着他们在车外让车辆鸣笛和开关灯光。I 车是一个合资车知道车机型号并且我连接 Wi-Fi 后抓了包分析了一会没啥有用的东西就试着去打内网。内网的东西后续也没什么好的突破。今天是抢分的关键要淘汰五支队伍所以大家都打得比较着急。打的途中昨天打这辆车的队伍还过来跟我交流了一下。我判断他们是想看看我们能不能打出他们的这个洞然后还给了我们一个信息说是 ADB我也不知道真假。如果我们打出来他们的分数就得往下降类似 CTF 那种机制越早打出来分才越高。这个车有工程模式但我们进不去。然后又尝试有没有车机屏幕的一些 SSH 漏洞也没扫出这些端口。接着又尝试 ADB 接口和蓝牙适配器的问题发现还是不行可能被他们骗了毕竟是个比赛哈哈。然后打到晚上实在打不动了裁判也说今天的洞只审晚上 6 点前提交的不然他们又要熬很久才能下班我们就先早点下班了。由于明天是 D 车然后我们昨天还跟打 D 车的队伍交流了一下。他们那台车跟我们第一天的 E 车一样难打。我们就有队员提议去找汽修店里的老师傅租一套设备回来看看明天那台 D 车无人车能不能从 CAN 这边突破一下因为我们带的设备适配性还是不够高。我和其中一个队员挨个给汽修店打电话问他们有没有这种设备我们好过去看看再借。终于有一家跨区的店有虽然比较远我们还是直接打车过去了。到了那别看老师傅的店破破烂烂的什么设备都有甚至他的电脑看起来很老但性能很流畅不输现在的电脑。师傅把他那套设备掏出来给我们看我们看了之后本来是想拿了就走的。我说“师傅你看看能不能在这用一下试试效果。”然后师傅人挺好的帮我试了一下这个 CAN 分析仪设备还帮我们把线缠了怕明天搭线可能短路。价格也说得过去反正是我们四个人平摊。就这样学会用这个设备之后我们就回酒店休息了。周四早早到了现场。由于每天的车都是领衣服那天就抽好的不巧的是今天又是一台无人车名为 D 车。昨天测 E 车的时候打 D 车的那队人好像也打不动我们也跟他们交流了一下。实际上这台车也确实不好打。我做了 Wi-Fi 的 DNS 劫持但是车机连了我的热点后没有网应该是有限制。就好比车机连蓝牙你要把电脑的 MAC 地址伪装成手机的不然也容易连接不上。这里没网我也没能打出这个 APK 的劫持效果。另外这台车的 PCAN 总线也不太行我们还跟其他队伍借了好用一点的设备来尝试 CAN 这边的报文漏洞最终无果。这台无人车也问过了是没有 APP 的。最后好在测了两个 AI 专项出来一个是大模型的内置型号一个是在车外呼喊能让 AI 把门打开。但是这次 AI 把门打开没给我们算分我也不清楚为什么明明是写在赛事手册上的这个也没细扯了。今天主要是抢分战这台车能打的分和攻击面打完了我们就换车了。因为我们第一次参赛不能做到像他们那样一天搞一台车就能出一些大的远控洞只能按照我们的快速拿分计划走争取不被淘汰。但戏剧性的一幕来了今天盒饭数量都不够没招了只能去外面吃。打比赛吃不上赛事方的午饭也算是见识了。午饭后换到了 T 车。T 车是一台国产车然后我们队长刚好也测过这个车辆的类似车型。先是进了工程模式然后找到了挺多敏感信息最后上交了。接着用他之前测车时的固件代码漏洞去打这台车发现并不能成功而且这个车的 ADB 连不上包括 CAN 分析这边也没有什么好的结果。Wi-Fi 方面这边最恶心的是我根本没有扫到它的 Wi-Fi弄了半天才发现是我的无线网卡是 2.4G 的而它车机是 5G 频段我还以为是什么问题。连不进 Wi-Fi我就没啥入口对它的内网做搜集和打点了。然后我去捣鼓它的 AI发现也是大模型配置泄露是某包还是某文来着这里我也记不太清楚了。交了敏感信息泄露后这台车还有一个浏览器这个浏览器是谷歌的于是我就扒拉了一下版本刚好有合适的 Nday 可以打。搭建了一个 nginx 服务器加上那个谷歌低版本漏洞打出了让车机弹出车机文件的效果任意文件也可以弹出。但是蓝牙这一块还是连不上。后面我就去搜集了一下其他队伍的信息看了看电视上的分数对我们很不妙。我们现在的排名还是有点危险的这些厉害的大佬团队都是藏洞没提交今天开始慢慢都交了好几个队伍接近 1W 的分数不得不卷。后续我换了一台 X 车X 车整体测下来就只有一个 AI 的配置信息还有一个蓝牙传输这个我看了赛事规则是没有分的所以也没啥用。最后熬过了今天分数还算不差确定保住了明天能比赛的资格后就休息了。终于到了周五也算是最后一天了吧。我们昨天晚上做过攻略今天就死磕之前人家打出远控的 I 车或者直接打我们出过洞的 K 车。这一次跟裁判扯皮半天终于把这个 APP 要到了手里于是开始脱壳、反混淆之后拿到了源码把里面 APP 的 API 接口拿出来分析。不过还是少了最重要的 root 手机没办法抓取它 APP 远程操控车辆的一些流量包很难伪造 token 这些东西去发起重放攻击。我们还是继续尝试不用这个东西能不能远控。Wi-Fi 协议这一步我也有所突破。对比上一次这一次我算是成功让 AI 发力了。连接上后我给了一些思路给 AI先是找到了车机投屏的一个历史漏洞然后成功探测到车机内部的网关从 10 段打到路由网关再到 k8s 集群还找到了域控的 IP。这车机是 Android 14 的利用 SSRF 从车机内部发出请求可以去 UDS 诊断 CAN 帧。这里我们只能让 AI 盲打它的 UDS 诊断。CAN 网关 API 是没有鉴权的UPnP 服务也没有经过认证内网服务也没有做隔离。很可惜的是用 DeepSeek 搞的速度还是太慢了最后还是没能绕过这个 0x27 的安全访问只能通过 SSRF 间接访问内部服务。并且这个服务只能用 nmap 的 -sA 才能扫出来之前打的时候 AI 不会自己用各种参数扫太死板了一点。同时队友蓝牙那边连是连上了也利用脱壳反编译后的源码找到了蓝牙能打的一些零点击接口但也是棋差一招差个 root 手机去抓流量包要到这个 token 值才能闭环。今天算是流程最顺畅的一天但看了看最后的分数大佬队伍疯狂提交 0day、零点击、远控漏洞把分数拉得特别高。我们的分数可以说是刚好卡在最后了要被刷的那种。事已至此我们也没有别的办法了最后把觉得可能是漏洞的都提交了一遍顺便拍个照留个纪念。等到晚上通知我们的时候确实是在我们前面的几个队里有一个刚好卡线进了他后面的都要淘汰我们也就淘汰了比较可惜吧。没被淘汰的话我们明天继续打也能有个证书了。可惜没能留下点什么这是最可惜的地方。后面我就买机票准备回去了。复盘一下我们跟其他队伍的差距还是很大的这个不是短期就能弥补的。IoT 或者说 IoV 吧这个方向对比常规安全来说攻击面会更加广要求你会的协议更多设备一定要带齐全。宁可东西多带一点也别少带还得检查这些设备在常规条件下是不是都能用。比如我的 2.4G 频段无线网卡遇到 5G 频段的车机就炸缸了。这一次比赛也没有去尝试我们最经常用的一些弱口令后面我还打听到是有弱口令车机存在的。Wi-Fi 协议这方面或者说通道这方面还是不够熟练准备也不够多后面尽量全面点吧。我们这次战术配合也稍微有点问题。因为漏洞方面我不是全懂队友打出来的一些我不太懂的洞我不知道怎么去扯皮。在团队里面我算是最能跟裁判扯皮的那个了。而且打比赛的过程中我们跟别人交流的时候还是藏不住东西有点沉不住气容易着急上头。漏洞报告这一方面我们也需要好好弥补一下报告写得太差以至于裁判那边确实不好给分。报告还是要边打边写写细致截图清楚思路清晰。确实是经验欠缺太大。伙食也有点不好吃他们的盒饭老闹肚子浪费时间上厕所。比赛的时候一定要少喝水多打车。AI 这一块我们这次选得也不太行毕竟资金有限电脑配置也有限对于 AI 框架的利用也不够到位。说白了就是基础不够扎实你没有好思路写不出好的攻击工作流去运转那么 AI 执行的效率就会很低给你的反馈也不一定能确认看懂。所以还是要紧跟时代潮流成为让 AI 赋能我们的人而不是滥用 AI啥也不懂。当失去真正判断力的那一刻AI 自然也就没有用了。AI 是会有幻觉的哪怕再强的 AI 都会有这个问题是需要时间才能解决的。最后总结一下赛事手册要阅读明白实力很重要有实力其实就不用考虑太多东西沉淀成长吧。