Hackit Contest
Ich habe mal wieder einen HackIt Server aufgeseztzt. Das bedeutet ich stelle einen Server ins Internet, und ihr dürft (sollt) versuchen ihn zu “hacken”. Zu gewinnen gibt es nichts (abgesehen davon den Wissenshorizont zu erweitern). Nun zu die Details:
IP: 80.190.250.213
Auf die Kiste läuft ein Webserver http://80.190.250.213/ mit eine knappe Beschreibung vom Wettbewerb, Ziele und Regeln. Der Webserver ist diesesmal das Ziel vom Wettbewerb, es geht darum die diese Seite zu “entstellen” (also ein Defacement). Um das ganze ein wenig interessanter zu gestalten werden alle ssh sessions mit “script” aufgezeichnet und, für jeden zugänglich, hier gespeichert (die Dateien kann man z.B. mit “less -r datei” anschauen).
Regel und Ziel des Wettbewerbs:
Wie oben schon erwähnt geht es darum diese Seite zu entstellen. Generell ist dazu alles erlaubt, ich möchte euch so wenig wie möglich einschränken, seid kreativ und einfallsreich.
Dennoch muss ich eine kleine Liste an Aktionen aufstellen die nicht erlaubt sind.
- (D)DoS gegen den Server, oder über diesen Server gegen andere Server im Internet sind natürlich verboten
- Brute Force attacken gegen accounts sind zwar nicht verboten … aber glaubt mir, ihr wollt nicht wirklich euer Zeit mit sowas vergeuden
- Seid nett, versucht nicht die Accounts oder den Server für andere unnutzbar zu machen
- Wenn du irgendwas machst, was nicht darauf abzielt den Wettbewerb zu lösen, ist es höchstwahrscheinlich nicht erlaubt.
A few details to the box and the system:
- Es handelt sich um eine vmware Büchse (damit ich es problemlos resetten kann bzw. an die Console kann)
- Linux debian-testing ist installiert
- ein grundlegendes Hardening mit standard Linux tools und grsecurity wurde vorgenommen
- Keine Sorge, Ich habe euch genug Freiraum gelassen um ein wenig im System herumzustöbern, es ist also nicht “zu sicher um Spaß zu haben”
- Ich habe diesesmal keine Löcher absichtlich eingebaut. Dafür werden keine Updates der Softwarepakete oder Änderungen am RBAC System vorgenommen, egal was für Sicherheitslöcher bekanntwerden (oder ich übersehen habe)
- Auf eine Skala von 1 bis 10 würde ich die Sicherheit auf ungefähr 7 einstufen
So, und nun habt Spaß damit 😉
Ich werde zwar Aktualisierungen auch hier posten, ich denke aber, dass die meisten Infos (auch von Teilnehmer) vorwiegend auf der buha Seite und in meinen Blog ausgetauscht werden.