HackMETU 16 Macerası
6-7 Şubat tarihleri arasında ikincisi düzenlenen HackMETU etkinliğinde NoName adındaki takımımız yarışmanın sonunda 4. sırada yerini buldu.
Bu 30 saatlik maratonda bana yoldaşlık eden arkadaşlarım Hasan Emre Özer ve Hakkı Yüce'ye burdan teşekkürlerimi sunuyorum. Ayrıca yarışmada dereceye giren arkadaşlarımı ve katılma cesaretini gösteren herkesi tebrik etmeden olmaz :) Organizasyon ekibine ve etkinliğe ev sahipliği yapan ODTÜ Enformatik Enstitüsüne ayrıyeten teşekkürlerimi sunuyorum.
Soruların cevapları zaten yayımlanacağı için ayrıca açıklamaya gerek görmüyorum. Onun yerine ileriki senelerde yarışmaya katılmayı düşünen arkadaşlar için sorular ve organizasyon hakkında bilgi vermek istiyorum.
30 saat sürecek bir yarışmayı idare etmek kolay değil ama 0xdeffbeef ekibi bunu gayet güzel başardılar diye düşünüyorum.
Etkinlik ODTÜ Enformatik Enstitüsü binasında gerçekleşti. Geldiğimizde her takımın masası hazırlanmıştı, masanın üstünde de t-shirt ve hediyelerimiz bizi bekliyordu :D Her günün öğle ve akşamında yemekler organizasyon ekibi tarafından dağıtıldı. Geceye doğru gelen pizzalarda bizim için sürpriz oldu :) üst katta uyuyacaklar için yerler hazırdı aşağıda ise sabahlayacaklar için RedBull'lar hazır bekliyordu :D Onun dışında yarışmacıların çay/kahve ihtiyacıda karşılandı. Önemsiz gibi görünsede 30 saatlik maraton boyunca gayet önem arz eden detaylardı bunlar :)
Sorulara gelince, geçen senenin sorularına göre bu senekiler bariz daha zordu. Ama zor sormak için kaliteyi de elden bırakmamışlar bu da önemli bir detay. CTF konsepti Jeopardy olsa da Network kategorisi altında sizden bir ağa sızmanız ve diğer makinelere geçiş yapmanız isteniyordu. O da gayet eğlenceli bir kategoriydi :)
Web sorularında NodeJS, Django, MongoDB gibi görece yeni platformlar kullanılmış olması dikkatimi çekti. 2 soru hariç geri kalan sorular hep bu platforma ait açıklıkları içeriyordu. Klasik SQLi-RFI/LFI tarzı sorulara alışmış olanlar (mesela ben) bu kategori karşısında afalladı :) Bu kategoride "Web PHP'den ibaret değil!" gibi bir mesaj iletildiği hissine kapıldım.
Reverse soruları ilk iki sorudan sonra keygenme tarzındaydı. Bu sorular da gayet güzeldi.
Crypto sorularının bir kısmı RSA algoritmasının zafiyetlerine değiniyordu. Burada da "RSA is not immune!!" tarzı bir mesaj olduğunu sezdim.
Pwnable soruları remote exploitation'a dayalıydı. Bu katergorinin 100 ve 300 puanlık soruları gayet kolay olmasına rağmen gözümden kaçtı. Diğer sorularıda nasıl exploit edeceğimi bilmeme rağmen karşı taraftaki adresleri bilmediğim için yapamadım. Aynı sebepten olacak ki diğer yarışmacılarda bu soruları yapamadılar. Bu da benim için ders oldu :)
Network soruları pentest lab tarzındaydı. Sadece ilk sorunun makinesi dışarıya açıktı ve diğer soruları çözmek için o makine üzerinden ağda Pivoting yapmak gerekiyordu. Ayrıca soruları hazırlayan kişinin açıkladığı üzere makinelerden birinin public exploiti bulunmuyordu. Arkadaşlarım bu kategoriden 2 makine almayı başardılar :)
Aldığımız sonuç bizi tatmin etmesede 30 saatlik bir maratonu geride bıraktık. Eksikliklerimizi öğrenmiş olduk ve bizim için farklı bir tecrübe oldu. Seneye görüşmek üzere :)
Bu 30 saatlik maratonda bana yoldaşlık eden arkadaşlarım Hasan Emre Özer ve Hakkı Yüce'ye burdan teşekkürlerimi sunuyorum. Ayrıca yarışmada dereceye giren arkadaşlarımı ve katılma cesaretini gösteren herkesi tebrik etmeden olmaz :) Organizasyon ekibine ve etkinliğe ev sahipliği yapan ODTÜ Enformatik Enstitüsüne ayrıyeten teşekkürlerimi sunuyorum.
Soruların cevapları zaten yayımlanacağı için ayrıca açıklamaya gerek görmüyorum. Onun yerine ileriki senelerde yarışmaya katılmayı düşünen arkadaşlar için sorular ve organizasyon hakkında bilgi vermek istiyorum.
30 saat sürecek bir yarışmayı idare etmek kolay değil ama 0xdeffbeef ekibi bunu gayet güzel başardılar diye düşünüyorum.
Etkinlik ODTÜ Enformatik Enstitüsü binasında gerçekleşti. Geldiğimizde her takımın masası hazırlanmıştı, masanın üstünde de t-shirt ve hediyelerimiz bizi bekliyordu :D Her günün öğle ve akşamında yemekler organizasyon ekibi tarafından dağıtıldı. Geceye doğru gelen pizzalarda bizim için sürpriz oldu :) üst katta uyuyacaklar için yerler hazırdı aşağıda ise sabahlayacaklar için RedBull'lar hazır bekliyordu :D Onun dışında yarışmacıların çay/kahve ihtiyacıda karşılandı. Önemsiz gibi görünsede 30 saatlik maraton boyunca gayet önem arz eden detaylardı bunlar :)
Sorulara gelince, geçen senenin sorularına göre bu senekiler bariz daha zordu. Ama zor sormak için kaliteyi de elden bırakmamışlar bu da önemli bir detay. CTF konsepti Jeopardy olsa da Network kategorisi altında sizden bir ağa sızmanız ve diğer makinelere geçiş yapmanız isteniyordu. O da gayet eğlenceli bir kategoriydi :)
Web sorularında NodeJS, Django, MongoDB gibi görece yeni platformlar kullanılmış olması dikkatimi çekti. 2 soru hariç geri kalan sorular hep bu platforma ait açıklıkları içeriyordu. Klasik SQLi-RFI/LFI tarzı sorulara alışmış olanlar (mesela ben) bu kategori karşısında afalladı :) Bu kategoride "Web PHP'den ibaret değil!" gibi bir mesaj iletildiği hissine kapıldım.
Reverse soruları ilk iki sorudan sonra keygenme tarzındaydı. Bu sorular da gayet güzeldi.
Crypto sorularının bir kısmı RSA algoritmasının zafiyetlerine değiniyordu. Burada da "RSA is not immune!!" tarzı bir mesaj olduğunu sezdim.
Pwnable soruları remote exploitation'a dayalıydı. Bu katergorinin 100 ve 300 puanlık soruları gayet kolay olmasına rağmen gözümden kaçtı. Diğer sorularıda nasıl exploit edeceğimi bilmeme rağmen karşı taraftaki adresleri bilmediğim için yapamadım. Aynı sebepten olacak ki diğer yarışmacılarda bu soruları yapamadılar. Bu da benim için ders oldu :)
Network soruları pentest lab tarzındaydı. Sadece ilk sorunun makinesi dışarıya açıktı ve diğer soruları çözmek için o makine üzerinden ağda Pivoting yapmak gerekiyordu. Ayrıca soruları hazırlayan kişinin açıkladığı üzere makinelerden birinin public exploiti bulunmuyordu. Arkadaşlarım bu kategoriden 2 makine almayı başardılar :)
Aldığımız sonuç bizi tatmin etmesede 30 saatlik bir maratonu geride bıraktık. Eksikliklerimizi öğrenmiş olduk ve bizim için farklı bir tecrübe oldu. Seneye görüşmek üzere :)
Yorumlar
Yorum Gönder