まず、 イベント自体について少し話す価値があります 。 レポートは非常に技術的で興味深いものでした。ワークショップは喜んで、ハッカーの雰囲気がサイトに君臨し、邪魔な広告はありませんでした。 全体として、とてもクールでした! さまざまな都市や国のほぼすべてのチームと友人と会うことができたので、素晴らしいです。
今、実験室について。 合計で約35人が参加しました。 「Up and Down」は会議参加者のみが利用できるようになったため、ZN'13で利用可能なネットワークのIPアドレスからのみ登録を制限しましたが、VPN経由でラボサイト自体に接続するために何らかのプロバイダーを使用できます。 。 会議では無料のwi-fiがありましたが、聴衆の詳細を考えると、普通に使用することはできませんでした。怠zyな人だけがIntercepter-NGを起動しませんでした。 この事実を考慮に入れなかったため、急いで参加者のためのコミュニケーションチャネルを探し始めました。 イベントの管理により、48ポートスイッチとワイヤレスAPが即座に提供されました。昼食後、ネットワークへのアクセスを確立し、研究所を立ち上げました。 最初の3時間は誰も最初のトークンを集めることができませんでした-雰囲気が熱くなり、選択はCygnusサーバー(XSS脆弱性を含む画像のあるサイトが機能していました)に落ちましたが、仮想会社S-Labの公式サイトである銀行は攻撃にアクセスできましたサーバーおよびターミナルLinuxサーバー。 明らかに、カラフルなコンテンツはハッカーの注目を集めました。 XSSの使用に失敗し単調な試みを4時間行った後、 Omar Ganiev (Beched)は最初のトークンを取得することができ、それにより他の参加者の火に油を追加しました。 正直なところ、この研究室での作業は非常に困難であり、私たちは長い間誰も単一のトークンを取得できないことを心配していました。 最初のトークンを受け取った後、私たちは落ち着いて、すでにプレーヤーの少なくとも半分がタスクの半分を完了することができるかどうかに賭け始めました。
参加者がほとんどテーブルを離れなかったことは注目に値します。これは非常に驚くべきことでした-クールなイベント、クールなレポート、そして彼らは実験室を通過しています。 はい、私たちは非常に喜んでいました。 ビクターアリューシン (AV1ct0r、研究室で3位を受賞)は、合格に加えて、他の参加者を支援することができ、チームから尊敬を得ました! 一般に、イベントについて話すのを引きずり出したくはありません。その結果、2日目には驚きました-Bechedはすべてのタスクを完了でき、チーム全体に衝撃を与えました! こんなに短い時間でそれが可能であるとは想像もできませんでした... 19.00時に受賞者に卒業証書と記念品を厳soleに贈りました。
参加者のコメント:
オマールとのインタビューはこちらから入手できます。
会議で半分の時間を費やして問題を解決するのが好きです。 そして会議だけでなく...
この意味で、ZeroNightsはPentestITチームの次のラボで非常に役立ちました。 私は初日の夜に通路を始めました。
すべてが明確に整理され、タスクは再び満足し、ツールキットで作業の速度を再び訓練しました。
今回、実験室にはDBMSクライアントをネットワーク攻撃するタスクさえありました(この実験では、この実験では何らかの攻撃が必要であるとすぐに理解しました。情報保護」 )。
2日目の終わりまでにすべてのタスクを(ヒントのヒントなしではなく)終了することが判明しました。
その結果、S-Lab情報システムに入社したのは3人のみで、全員が長年の知り合いでした。 おそらく、多くの人がこの分野の専門能力開発のために勉強して努力するのが面倒なので、そのような競技をより積極的に普及させる必要があります。
オマール・ガニエフ(ベチ)、私は配置します
最近のZeroNightsカンファレンスでは、スピーカーとして講演し、Kaspersky Labの「Break Me」とPentestITの「Long and Away」の2つのコンテストに参加しました。結論として、 デジタルセキュリティイベントの主催者と参加者に深く感謝したいと思います。 フレンドリーなハッカーの雰囲気に入り、2日間とはいえ仕事やビジネスから逃れるのはとてもクールでした。
最初の競争はまだ進行中であるため、後で説明し、侵入テストラボ「Along and Bars」について詳しく説明します。
競争は一般的にとても気に入っており、レポートに座るのがより楽しく、夕方には何かすることがあります。
タスクはあまり多くありません。たった10ピースで、会議の2日間だけです。 ストーリーラインの存在は非常に楽しいです。サービスは相互に接続されており、各サービスには次のサービスからのヒントまたはパスワードがあります。
ネットワーク図は非常に役立ちます-まだ壊れていないサービスがどこに残っているかを推測する必要はありませんが、今回はネットワークマップでミスを犯しました-あるサブネットから別のサブネットへのルーティングがすでに設定されていることを確認しなかったため、3位のみです。
タスク自体の内容は非常に楽しいです-総当たり攻撃、SQLインジェクション、ボットへのXSS攻撃、Metasploitのエクスプロイトの使用の両方ですが、私はリバースエンジニアとして、バッファオーバーフローや空き時間使用などの脆弱性がないことに少し悲しみます-私は一度だけ見ました利益2013研究所。
一般的に、私は誰もが次の実験室に参加することをお勧めします。また、System Administrator誌が開催するコンテストの一部である現在作業中のProfit-2013に参加することを勧めます。 すべての参加者がsshパスワードのブルートフォースに忍耐し、サーバーでトークンとパスワードを検索する際の工夫と機知に加えて、楽しい気分と幸運を祈っています!
ビクター・アリューシン(AV1ct0r)、III位
じゃあね!