Ekoparty CTF 2015 - Writeups

Am Abend nach dem Hacklu CTF hatte Sebastian den Drang erneut ein paar Challenges zu lösen. Auf Ctftime.org wurde der ekoparty CTF 2015 als erster Eintrag angezeigt und es war noch ein Tag Zeit um mitzuspielen. In diesem Blogpost wird Sebastian seine Lösungen für die folgenden Challenges beschreiben:

  • Slogans ( Trv 50)
  • SSL Attack (Trv 90)
  • Blocking truck (Trv 100)
  • Pass Check (Web 50)
  • XOR Crypter (Cry 200)
  • Press it (Misc 100)

Außerdem noch ein paar Notizen zu anderen Challenges, die er sich angeschaut hat.

Hacklu CTF 2015 Writeups

Während den letzten beiden Tagen wurde das Hacklu CTF 2015 veranstaltet. Dabei handelt es sich um ein CTF (Capture the Flag) im jeopardy-Stil und Sebastian hat sein Glück einfach einmal versucht ;) In diesem Blogpost werden die folgenden Herausforderungen genauer beschrieben:

  • Module Loader (Web, 100)
  • PHP Golf (Coding, 75)
  • Guessthenumber (Coding, 150)
  • Bashful (Web, 200)

Unterstützung des AUR mit Sicherheitstools

Sebastian hat sein Arch Linux neu aufgesetzt und einige AUR (Arch user repository) Pakete erstellt. Jene, welche auch unter dem Gesichtspunkt der IT-Sicherheit interessant sind, werden folgend vorgestellt.

Wie ungeschützte .git Repositorys die Sicherheit Ihrer Webseite gefährden - Eine Analyse der Alexa 1M

Sebastian hat vor einigen Monaten an einem CTF (capture the flag) teilgenommen. Eine Aufgabe mit der er dabei konfrontiert wurde, war das Wiederherstellen eines .git Repository’s auf einem Webserver, welcher Directory-Listing eingeschaltet hatte. Mit der Auflistung der Verzeichnisinhalte ist das Auslesen vergleichsweise einfach, aber geht es auch ohne? Schließlich kann man damit eine Menge Schindluder treiben, etwa fremde .git Repository auslesen und somit Zugriff auf den Quellcode einer Webseite und ggf. Passwörter erhalten.

Also beschäftigten wir uns etwas mehr mit der Materie, schrieben einige kleine Tools und haben ein paar Beobachtungen angestellt, die wir gern weitergeben möchten. Das Ergebnis war zwar nicht so dramatisch, wie befürchtet, aber dennoch überraschend.

AXFR-Scan der Alexa Top 1 Million

In diesem Blogpost werden wir einen einfachen Informationsleak vorstellen, nämlich unautorisierte AXFR Anfragen. Diese können genutzt werden, um die DNS Informationen eines bestimmten Zieles auszulesen. Nicht selten werden so als intern/privat klassifizierte DNS Einträge aufgedeckt.

Wir haben die Alexa Top 1 Millionen Webseitenliste auf dieses Problem untersucht und sind dabei zu einem ernüchternden Ergebnis gekommen.

Intressanter CSRF Bypass

Sebastian hat vor Kurzem einen interessanten CSRF Bypass gefunden, den wir euch natürlich nicht vorenthalten möchten.

Rückblick auf 2014

2014 war mal wieder ein spannendes Jahr. In diesem Artikel würden wir gern von den Highlights berichten und warum 2014 ein besonders gelungenes Jahr als Internetwache war. Am Ende des Artikels möchten wir noch unsere Pläne für 2015 erläutern.

XSS in Skypes Videomail API

Vor circa einem Jahr entdeckten wir eine kleine XSS Lücke in Skypes Videomail API - durch die wir einen Eintrag in der Hall of Fame von Microsoft bekommen haben.

Apostroph Kodierung und XSS in moderen Browsern

Während der Teilnahme an einem Bug Bounty Programm entdeckte Sebastian eine “script-context” XSS mit dem Injektionspunkt als String. Nahezu alle modernen Browser (z.B. FireFox, Chromium & der Internetexplorer) kodieren das Apostroph. Trotzdem ist eine Ausnutzung dieser Lücken unter Umständen möglich.

RCE auf attack-secure.com

Vor über einem Jahr haben wir eine Remote Code Execution Lücke auf attack-secure.com gefunden. Auf dieser Seite werden Einsteiger-Kurse im Themenbereich Sicherheit angeboten. Diese werden vom Security Researcher Mohamed Ramadan betreut.