Rückblick auf den Anlass Capture The Flag der Cyber Security Days OST

Am 20. November 2021 fand der online CTF im Rahmen der Cyber Security Days statt, durchgeführt von der OST, der Ostschweizer Fachhochschule in Rapperswil. Event-Eindrücke vom teilnehmenden terreActive-Team.

Auch 2021 wurden leider keine Cyber Security Days vor Ort durchgeführt. Doch der Anlass Capture The Flag fand nach dem letztjährigen Erfolg wieder online statt. terreActive unterstützte den rund 10-stündigen Anlass mit 250 Registrierten als Sponsor und zudem nahm auch ein vierköpfiges terreActive-Team an den Challenges teil.

Für Hacker mit Spass und Leidenschaft am Wettbewerb

Neue Herausforderungen wurden gemeistert und knifflige Aufgaben geknackt, u.a. auch von vier Mitarbeitenden der terreActive. Was wäre ein Hackerteam ohne Codenamen.

Team slicedbread berichtet:

Unser Tag begann um 09.00 Uhr und war in drei Etappen aufgeteilt. Pro Etappe standen jedem Team 2 Stunden zur Verfügung, um 6 Challenges mit verschiedenen Schwierigkeitsgraden zu lösen. Am Ende jeder Etappe wurden die Challenges geschlossen und ein Teil davon aufgelöst. Uns wurde sehr schnell klar, dass je nach Wissenstand über die verschiedenen Teilbereiche, eine «einfache» Challenge sehr viel schwerer sein kann als beispielsweise eine «mittlere».

Für die Techies unter euch, hier noch ein Beispiel einer Challenge, die unser Team gelöst hat:

  • SSTI (Server-side template injection is a vulnerability where the attacker injects malicious input into a template to execute commands on the server-side. Quelle Cobalt.io)
  • RCE (It allows an attacker to remotely run malicious code within the target system on the local network or over the Internet. Quelle encyclopedia.kaspersky.com)

Wir bekamen den Sourcecode einer Python Web-Applikation. Bei diesem White-Box-Ansatz war es uns möglich, alle Endpunkte wie /login, /order etc zu sehen. Einige waren nur mit (dem noch nicht funktionierenden) Login aufrufbar, andere ohne. Auffällig war ein ungeschützter Endpunkt, der uns Logmeldungen anzeigte. Nach ein paar Tests mit dem Login Formular waren auf dieser Seite alle Loginversuche, inklusive unserem eingegebenen Usernamen, sichtbar. Das war der Einstiegspunkt für die SSTI, der uns ermöglichte, eigenen Template Code einzuschleusen.

details

Auf diesem Weg liesse sich problemlos auch der ganze Server übernehmen, wenn wie in diesem Fall die Applikation als Administrator ausgeführt wird.

Wer nicht regelmässig an CTFs teilnimmt, kann während der Challenge schon mal in die Lage kommen vor lauter Bäumen den Wald nicht mehr zu sehen, wenn Aufgabenstellungen sehr umfangreich und Hinweise arg verschlüsselt sind. Wir wissen aus Erfahrung "Übung macht den Meister". Ist man einmal mit dem CTF-Virus infiziert und hatte am Event selber keine Zeit alle Challenges zu lösen, so bietet sich doch die nächste Kaffeepause in der Firma an, um zusammen mit den Kollegen weiter zu knobeln.

Unser Tipp: Da wir aus vergangenen Events wussten, dass die Challenges recht knifflig sein können, waren wir entsprechend gut vorbereitet. Für Kommunikation und Screensharing hatten wir uns schon im Vorfeld einen Discord Server eingerichtet und konnten uns so gegenseitig zuschauen und unterstützen. Diese Vorbereitung hat sich während dem Event ausbezahlt.

Ein bisschen Nervenkitzel musste sein: Auch wir haben einige Aufgaben erst in den letzten Sekunden des Countddowns abschliessen können. Im Vergleich zum letzten Jahr haben wir uns bereits verbessert und waren mit unseren Ergebnissen durchaus zufrieden. Insgesamt hat die Teilnahme sehr viel Spass gemacht, auch wenn nach sechs Stunden grübeln langsam die Luft raus war.

Eine Teilnahme ist es wert

Wir empfehlen unbedingt die Teilnahme an CTFs. Die kniffligen Aufgaben und Herausforderungen bringen jedes Security-Team weiter, machen Spass und fördern die Zusammenarbeit, die auch bei der Bekämpfung eines Hackerangriffs im Unternehmen viel wert ist. Am besten schon jetzt für die CTFs 2022 anmelden - wir wünschen viel Glück.
 


Was ist Capture the Flag (CTF)?

In einem spielerischen Rahmen können Sie Fähigkeiten rund um die IT-Sicherheit erlernen. Sie lösen Aufgaben aus verschiedenen Bereichen der IT-Sicherheit, um Flags zu erhalten und damit Punkte zu erzielen. Ein CTF ist meist als Wettbewerb ausgelegt, bei dem die Bestplatzierten tolle Preise erhalten.