Infobyte Challenge en Ekoparty 2017




La semana pasada celebramos la décimo tercera edición de Ekopartyen el centro cultural Konex. Siendo una de las conferencias de seguridad más grandes de Latinoamérica,  su objetivo es reunir a hackers, security researchers, apasionados de la tecnología y profesionales de seguridad en un único espacio, con el fin de compartir conocimiento en un ambiente distendido, divirtiéndonos y pasando buenos momentos con nuevos y viejos amigos.

Este año, además de formar parte de la organización, estuvimos apoyando el evento con Faraday como sponsor oficial de la conferencia y decidimos organizar, por primera vez, un challenge para los asistentes.

Como en cada edición, trabajamos en equipo preparando un espacio de encuentro en nuestro stand para que la gente pueda acercarse a visitarnos y encontrarse con diferentes actividades y propuestas, desde una carrera de drones, demos personalizadas del producto, merchandising renovado y, por primera vez,  un challenge al estilo Mini CTF ¡¡¡Con una PS4 como primer premio!!!

Este challenge consistió en atacar a un servidor que tenía varios retos Web: Algunos de code review,  un reto de reversing y exploiting de binarios para los disfrutan el IDA o el Ollydbg. También, sumamos un reto, un tanto especial, que consistía en Hackear un Drone! 

Los premios

  • Primer puesto: Playstation 4  - 500 GB.
  • Segundo y Tercer puesto: Drone Eachine e011.

Los retos

Al momento de crear el Infobyte challenge 2017, intentamos establecer ciertos objetivos creando propuestas diversas:

  • Que los retos estén asociados a una vulnerabilidad.
  • Que se desarrollen en un escenario más real, donde alguien tenga que descubrir vulnerabilidades y reportarlas.
  • Que tenga diversidad para que los participantes puedan demostrar skills en pentesting, web application, code review y reversing.
  • Que podamos integrarlo con Faraday, nuestra plataforma de gestión de vulnerabilidades.

Con todo esto en mente, armamos retos para todos los gustos, tanto en las vulnerabilidades como en su dificultad. Hacia el final del Challenge, quedaron algunos retos que no llegaron a ser resueltos, quedando activos para futuros juegos.



Algunos de estos retos implicaban:
  • Conceptos sencillos como realizar un escaneo de puertos con Nmap y descubrir un puerto alto con un servicio que devolvía el flag si uno se conectaba varias veces a él, o un open redirect el cual en la re-dirección enviaba un Header especial, el cual contenía el Flag.
  • Retos un poco más complejos como un servicio Vsftpd con un backdoor custom, donde descubrías su código en una carpeta de backup, donde aplicando code review en la diferencia entre el source code entregado y la versión original del servicio, encontrabas el backdoor!
  • Incluso un XXE, el cual era sencillo de explotar, pero necesitabas saber que el stream para leer el Flag oculto en el archivo xxx.php era php:// y no file://, ya que estaba filtrado.
  • Un reto diferente que consistía en Hijackear un drone que teníamos en el stand, el cual nadie pudo resolverlo, pero uno de los participantes llegó a estar muy cerca de lograrlo aunque, por falta de tiempo no alcanzó a lograrlo. De todas maneras, destacamos su participación y les contamos que, en las próximas semanas vamos a estar publicando, en este mismo blog, todos los detalles para lograrlo  :)

Los equipos

Unos 30 equipos se registraron, pero solo 7 participaron activamente.
A continuación, pueden ver un gráfico de puntuaciones.



¡¡¡Felicitaciones a RL_TEAM, CSALAZAR y NULL por ganar los tres primeros puestos!!!





Desde Infobyte, quedamos más que contentos de organizar esta actividad y ver cómo se esforzaron a desafiar sus propios conocimientos, compartiendo buenos momentos. Al fin y al cabo, ese es uno de los motivos más importantes por los cuales a todos nos encanta reunirnos y encontrarnos, cada año, en Ekoparty.

¡Gracias totales a todos por participar! Esperamos que haya sido tan entretenido para ustedes como lo fue para nosotros y que hayan logrado aprender y compartir algo nuevo. Esperamos volver y superarnos el próximo año :)



Post a Comment
Thanks for your comment