10月17日，为期两天的“天府杯”国际网络安全大赛落下帷幕，近百位技术白帽齐聚于蓉，展开一场酣畅淋漓的破解之战。360漏洞研究院青训队凭借攻破Chrome、微软Exchange Server 2019、iphone 13 Pro、Ubuntu 20/CentOS8、Adobe PDF reader、Prarllels Desktop六大项目，一举斩获39万美元奖金，获得2021“天府杯”（第四届）国际网络安全大赛第三名。

首日开场，360漏洞研究院青训队率先利用2枚0day漏洞攻破Chrome项目，夺得15万美元大赛奖金。在漏洞威胁层面，该漏洞表现出了极大的危害性。用户点击链接后，不需要其他任何交互，攻击者即可远程操控用户设备，从而窃取用户的账号密码、照片、通话记录等隐私数据，甚至使用摄像头进行监控，对用户安全产生极大威胁。该项目的攻破也让360安全团队成为“天府杯”唯一实现Chrome“二连胜”的战队，继去年“天府杯”大赛唯一攻破Chrome项目之后，360安全团队再一次完整突破Chrome沙箱防护，实现全套利用。

接着，360漏洞研究院青训队贡献出一枚微软Exchange Server 2019的远程代码执行漏洞。凭着该高危漏洞，360漏洞研究院青训队仅以6秒时间迅速攻下Exchange Server项目，夺得评委组评定的6万美元大赛奖金。

众所周知，Exchange服务器是全球企业机构最主流的邮件服务系统之一，据悉，全球范围内至少150万台在公网开放的服务器可能受到该漏洞的影响。不法攻击者若利用该漏洞，可从外网访问邮件服务器，进而直接获取公司域的控制权限，大量的公司内部资产处于沦陷状态，而攻击者不仅可以窃取内部敏感数据，还能获得对受害环境的长期监听控制权。该漏洞的幕后发现者是长期为政企用户及合作伙伴提供安服支持的360高级攻防实验室，鉴于该漏洞广泛存在于政府和企业机构的应用架构之中，因此该漏洞也成为了本届“天府杯”在政企用户防护研究方向上，极具实用价值的安全漏洞。

攻破每年最新款iPhone手机，已成为“天府杯”展现技术硬实力的标志。今年，360漏洞研究院青训队在iPhone 13 Pro的攻破上也取得亮眼的成绩。360安全研究员为“天府杯”贡献一枚苹果Safari漏洞，尽管苹果引入了最先进、难度最高的安全防护机制指针验证码（PAC），使得入侵iPhone变得困难重重，但是利用该漏洞依然成功绕过了PAC防护措施，顺利攻破浏览器，完成任意代码执行，并且 iOS和MacOS 平台均受该漏洞影响。

决赛当天，360漏洞研究院青训队又在Linux项目上取得了突破，利用一枚高危级别的提权漏洞现场攻破Linux系统，该漏洞影响Ubuntu和CentOS等主流Linux发行版，其潜伏时间长达六年以上，覆盖版本3.x-5.x。利用该漏洞可以获取操作系统ROOT权限，窃取及篡改系统及用户的敏感数据。接着，360漏洞研究院青训队接连攻破Adobe PDF reader项目，成就了360在“天府杯”Adobe PDF reader项目上的“三连胜”记录。利用该Adobe reader软件漏洞，用户在使用reader时一旦不小心打开了被恶意构造的PDF文档，攻击者便可实现任意代码执行，包括窃取用户信息、下载木马等。

最后，360漏洞研究院青训队以一枚MacOS虚拟机漏洞收官，这也是“天府杯”大赛举办四年来首次设立的MacOS虚拟机相关项目，正是由于该漏洞的成功利用，助力360漏洞研究院青训队最终夺下了Parallels Desktop项目。

据悉，出征应战本届“天府杯”的成员正是来自360政企安全集团的新一代安全实战专家团队。这支队伍中大多数的安全专家均为95后，甚至不乏98年和99年的漏洞研究专家。这群年轻的安全白帽对于高危漏洞挖掘和产品安全性提升，有着极高的使命感和担当精神，长期以来在漏洞领域保持深入研究，也在本届“天府杯”之战中，以精湛的技术实力夺得总价值为39万美元的丰厚奖金。