Hack the box beim Erlanger CCC

Am Samstag bin ich „mal eben“ nach Erlangen gefahren, denn dort gab es eine lokale Sonderveranstaltung des Chaos Computer Clubs mit dem klangvollen Titel Hack the box. Einer aus dem Club hatte einen Windows 2000-Server mitgebracht, so dass es mal die Möglichkeit gab, sich in die Rolle eines Skriptkiddies zu versetzen. Das war eine interessante Erfahrung, bei der dann auch schnell klar wurde, dass die meisten von uns auf diesem Gebiet wenig Erfahrung haben.

Ziemlich schnell gab der Server dank Nessus und nmap einige Informationen über sich frei, was zwar schon recht interessant war (der Admin war etwas überrascht!), aber eigentlich nicht weiterhalf. Also versuchten wir es anders. Der letzte Schrei auf dem Gebiet der Computersicherheit ist das Fuzz Testing oder Fuzzing. Das wollten wir dann gleich mal testen. Ich hatte davon ja schon dank des 22. Chaos Communication Congress gehört, denn dort gab es einen Vortrag über dynamisches Fuzzing.

Es gibt ein ziemlich flexibles Tool namens scapy, mit dem man Datenpakete selbst erstellen, modifizieren, versenden und empfangen kann. Nach kurzer Eingewöhnung kann man (dank der guten Dokumentation) schnell fuzzy packets generieren und den Rechner damit bombardieren. Schon während der Installation des Rechners gab es eine Bluescreen nach der anderen auf dem Server. Leider konnte abschließend nicht ermittelt werden, ob es an unserem Paket-Bombardement lag oder daran, dass der Windows-Rechner einfach nicht richtig funktionierte. Da kann man ja bei Windows-Servern nie so ganz sicher sein, besonders wenn sie unter Last gefahren werden. 🙂

Einmal Skriptkiddie zu spielen, hat schon eine Menge Spaß gemacht, obwohl ich das in freier Wildbahn nicht machen würde. Jedenfalls habe ich sehr viel über Computersicherheit gelernt, auch wenn uns erwartungsgemäß kein wirklicher Exploit gelungen ist – abgesehen von den eventuell durch uns verschuldeten Abstürzen, die doch auch für Erheiterung sorgten. Bis wir an einem Capture the Flag-Hacking Contest teilnehmen können, ohne uns zu blamieren, müssen wir wohl noch etwas üben. 😎

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.