Kategorie: Events
von: Dario Engelmayer

Capture the Flag Workshop & Competition

Vom 28. bis 29.10.2017 fand ein Workshop zum Thema „Web-Penetrationstesting“ bei den Hacking-Experten der Squareroots in Mannheim statt.

Ziel der zweitägigen Veranstaltung war es eine Einführung in verschiedene Schwachstellen von Webapplikationen, wie sie in Hacking-Wettbewerben, aber auch der Realität vorkommen. Zwei unserer Kollegen, Dario Engelmayer und Patrick Eisenschmidt, waren vor Ort, um sich ein Bild von den Techniken der Hacking-Experten zu machen.

Den Samstag begannen die Squareroots mit einer Einleitung in JavaScript und bekannten Fehlern, welche bei der Programmierung von Webseiten – selbst heutzutage – immer wieder vorkommen. Das anschließende Thema „File Inclusion“ widmete sich den Sicherheitslücken in Webapplikationen, welche ungeprüft Dateien dynamisch einbinden und ausführen lassen. Nach einer kurzen Stärkung wurden die SQL Datenbanken der Testumgebung durch sogenannte „SQL Injections“ attackiert. Ziel dieser Angriffe war die Extraktion sensibler Information, die ausschließlich privilegierten Nutzern zur Verfügung stehen. Beendet wurde der Tag mit einem Vortrag zu regulären Ausdrücken / „Regular Expressions“, kurz „RegEx“. Diese ermöglichen es aus großen Textmengen spezifische Wörter oder Zeichenfolgen nach einem vorgegebenen Muster zu filtern. Um die gelernten Themengebiete zu vertiefen, gab es im Anschluss noch einige Übungsaufgaben.

Der Sonntag stand ganz unter dem Motto „Capture-The-Flag“ (CTF). Den Auftakt machten die Squareroots mit der Programmiersprache Python und ihrem Nutzen bei der Automatisierung von Abläufen. Anschließend wurde den Teilnehmenden die Herangehensweise an CTF-Wettbewerbe nähergebracht. Zum Abschluss des Workshops wurden die Teilnehmer in Teams eingeteilt und traten bei einem „Attack-Defence-CTF“ gegeneinander an. Dabei wurde jedem Team ein virtueller Server mit drei Webapplikationen zur Verfügung gestellt. In der folgenden halben Stunde hatten sie die Aufgabe potentielle Schwachstellen im System und den Applikationen zu finden und diese möglichst schnell zu schließen. Nach Ablauf der 30 Minuten wurden die Firewalls geöffnet und die Angriffe gestartet. Nun galt es die gefundenen Sicherheitslücken der anderen Teams auszunutzen oder diese mit einem Verbesserungsvorschlag zu melden. Punkte gab es für erfolgreiche Angriffe und hilfreiche Meldungen. Nach 3 Stunden wurden die Punkte zusammengezählt und die Gewinner gekürt.

Einen knappen Monat später wurde es bei einem richtigen CTF, dem RuCTFE, ernst. Am 02.12.17 traten wir zusammen mit den Squareroots gegen 358 Teams aus der ganzen Welt bei einem Attack-Defence-CTF an.

Um 11 Uhr fiel der Startschuss. Als erstes wurden alle Dienste auf deren Ports und Programmiersprachen untersucht, um diese dann an Gruppen von drei bis vier Leuten zu verteilen. Diese Gruppen analysierten den Dienst auf Schwachstellen und darauf basierende Exploits für den späteren Angriff zu erstellen. Um 14 Uhr kam die Pizza zum richtigen Zeitpunkt, um für die letzten fünf Stunden gestärkt zu sein. Nach insgesamt 9 Stunden endete das Event und wir konnten uns den 39. Platz sichern.

Nächstes Jahr werden wir wieder dabei sein und versuchen einige Plätze nach oben zu klettern! Wir können allen IT-Security begeisterten und interessierten nur empfehlen donnerstags beim Treffen vorbeizuschauen und vielleicht sogar selbst Mitglied zu werden und uns bei den nächsten Events zu unterstützen.

Keine Kommentare
Kommentar hinzufügen

* - Pflichtfeld

*




*