Desafio H2HC 2007 valendo prêmio em dinheiro - Bypass WebDefender If You Can...

dum_dum · #1 23/07/2007

Boa tarde,

Todos estão convidados a participar.

Citar:

Bypass WebDefender If You Can...

Introdução:
A Security (http://www.security.org.br/) em conjunto com sua equipe de testes de intrusão intitulada Intruders Tiger Team Security (http://www.intruders.com.br/) é patrocinadora oficial do H2HC fourth edition (http://www.h2hc.org.br/) e tem o prazer de apresentar o primeiro desafio estilo “Capture The Flag” da conferência.

O desafio intitulado “Bypass WebDefender If You Can” tem como objetivo principal a diversão dos participantes através da experiência por possibilitar a experiência de realizar um ataque real a um ambiente devidamente preparado para tanto.

Desafio:
Escolhemos o cenário de aplicações web por considerar que cerca de 75% dos ataques atuais são realizados através do mesmo, segundo o Gartner Group (http://www.gartner.com/).

Como é sabido, a maioria dos programadores não têm tempo e conhecimento para desenvolver produtos de forma segura ampliando de forma significativa os riscos.

Este desafio é um pouco diferente dos demais, pois o servidor web terá falhas propositadamente deixadas pela equipe de segurança que implementou o ambiente que será atacado. O servidor foi implementado simulando um ambiente real, com aplicações vastamente conhecidas e dinâmicas, aonde existem falhas tanto de domínio público quanto privado.

As aplicações web têm uma série de falhas que permitem a um atacante ter acesso ao servidor web e ao banco de dados.

O “bypass webdefender if you can” será realizado em um ambiente aberto para que todos aqueles que desejam participar possam, seja individualmente ou em equipe. Porém todos os participantes devem se registrar previamente para o desafio.

Até aqui parece fácil...

A grande diferença do desafio “Bypass WebDefender If You Can” é que na frente do servidor de aplicações vulnerável foi instalado um firewall de aplicação web intitulado WebDefender (http://www.security.org.br/webdefender.htm), onde a equipe de desenvolvimento é o Intruders Tiger Team Security (http://www.intruders.com.br/), líder em testes de intrusão no Brasil.

Objetivo dos Atacantes:
Obter acesso não autorizado ao servidor de aplicações web, deixando evidências claras de sua intrusão com data, hora e comunicação através do e-mail ctf[at]h2hc.org.br, será considerado vencedor o primeiro e-mail a chegar que se encaixe nas regras.

Todos os e-mails enviados para ctf[at]h2hc.org.br devem estar assinados digitalmente utilizando a chave pública do(s) participante(s). Os e-mails sem assinatura digital não serão analisados.

Serão aceitas como intrusões válidas apenas os atacantes que forem capazes de ler o conteúdo do arquivo “H2HCdesafioWebDefender.txt” que está armazenado no servidor web e tem permissão de leitura para todos usuários do sistema. O email enviado para ctf[at]h2hc.org.br deve conter o método utilizado para realizar a intrusão e o conteúdo do arquivo “H2HCdesafioWebDefender.txt”.

Objetivo da equipe de segurança:
Impedir o comprometimento do ambiente através da implementação do firewall de aplicação web intitulado WebDefender. Para que o desafio tenha maior competitividade, a equipe de resposta a incidentes 24 x 7 da Security não analisará os logs de evidências de possíveis ataques e conseqüentemente não tomará nenhuma atitude para bloqueá-los.

Regras:
– Os membros da equipe de segurança da Security não podem participar do desafio.
– Os membros da organização do H2HC não podem participar do desafio.
– Os membros da organização e da equipe de segurança não podem auxiliar nenhuma equipe ou participante.
– Ataques de negação de serviço (DOS/DDOS/DRDOS) não são permitidos.
– Ataques físicos ao servidor web e firewall de aplicação web não são permitidos.
– É permitido atacar o servidor web e o firewall de aplicação web.
– É permitido utilizar falhas públicas, privadas e 0day.
– É permitido realizar ataques nas aplicações web, no protocolo HTTP e nos daemons (incluindo técnicas de overflows).

Para participar:
Os participantes devem se inscrever até o dia 26 de Outubro as 14:00:00 através do e-mail ctf[at]h2hc.org.br, no mesmo deve conter as seguintes informações:
– Nome da equipe.
– Nome completo do(s) participante(s).
– Chave pública do(s) participante(s).
– RG e CPF do(s) participante(s).
– Número IP ou hostname de onde partirão os ataques.

Todas as informações cadastrais serão mantidas em sigilo e não serão repassadas para terceiros.
Será publicado no site do H2HC fourth edition (http://www.h2hc.org.br/) na área
intitulada “Capture The Flag 2007” o regulamento do desafio, estatísticas, dicas e informações sobre o vencedor.

O servidor ficará exposto na internet do dia 01 de Novembro de 2007 a partir da 00:00:00 até o dia 07 de Novembro de 2007 a 23:59:59.

Durante esse período o servidor terá na sua página principal um logo contendo “Protegido por WebDefender”, no dia 08 de Novembro a partir das 14:00:00 até o dia 10 de Novembro a 23:59:59 o ambiente será ligado novamente porém sem o firewall de aplicação intitulado WebDefender e o site principal não terá mais o logo contendo “Protegido por WebDefender”, o objetivo é que os atacantes possam analisar o ambiente durante esses 3 dias sem o firewall de aplicação web e descobrir que falhas existiam e como explora-las.

Durante os intervalos da conferência H2HC fourth edition (http://www.h2hc.org.br/) serão apresentadas algumas falhas existentes no servidor de aplicações web e como elas poderiam ter sido utilizadas para vencer o desafio “Bypass WebDefender If You Can”.

O fuso horário utilizado é o de Brasília (GMT-03:00).

Vencedor:
No caso do vencedor ser uma equipe, a coordenação mandará apenas a passagem aérea de um integrante da equipe, caso o mesmo não tenha tempo hábil ou não queira aparecer em público, a coordenação providenciará um acesso telefônico gratuito para explanação da falha.

Homologação do vencedor:
A homologação se dará na exposição de como foi exploitado o sistema e de como se conseguiu acesso ao servidor web de acordo com as regras estipuladas, ou seja, o vencedor terá que mostrar ao público do congresso de forma clara e técnica como o ataque foi realizado.

Prêmio:
O vencedor receberá em dinheiro R$ 1.000,00 (um mil reais), 01 (uma) passagem aérea de ida e volta para o H2HC com o valor de até R$ 1.500,00 (um mil e quinhentos reais), hospedagem para 01 (uma) pessoa por 02 (duas) noites , 01 (um) ingresso para o evento, 01 (uma) camiseta do H2HC com o diferencial “Winner - Bypass WebDefender If You Can, H2HC fourth edition” e 01 (um) certificado de vencedor do desafio.

Dúvidas:As dúvidas sobre o desafio “Bypass WebDefender If You Can” deverão ser encaminhadas para o e-mail: ctf[at]h2hc.org.br.

Atenciosamente,
Coordenação H2HC 2007

Maiores informações: http://www.h2hc.org.br/capture.htm

Boa sorte.

Atenciosamente,

mmachado · #2 23/07/2007

Pela descrição no site do WebDefense ele parece ser um box com modsecurity.

http://www.modsecurity.org/

Como o servidor web possui falhas deixadas lá de propósito, tenham certeza de que, pelo menos as mais óbvias, serão devidamente filtradas. Resta correr atrás de falhas que não façam match em nenhum filtro. Ou então tentar usar o próprio firewall como ponto de apoio para uma alavanca...

Boa sorte!

[]s, MM

dum_dum · #3 24/07/2007

Fala MM,

Não é mod_security não, apesar dele ser bom. O grande lance é que não tem muito como fugir de como trabalha um firewall de aplicação Web.

Se você pegar exemplos como SiteProtector, SecureSphere, NetContinuum, AppShield, etc no descritivo gerencial eles são muito parecidos, apenas se nota a diferença em um descritivo realmente técnico, que raramente é publicado.

De qualquer forma, você é bem vindo no desafio, inclusive para averiguar pessoalmente se é um mod_security.

T+

[ ]'s

mmachado · #4 24/07/2007

Citar:

Originalmente enviado por dum_dum

Não é mod_security não, apesar dele ser bom.

Então me perdoem. É que a lista com as features são idênticas as do site do mod_security. Juro que eu fui lá confirmar antes de enviar essa mensagem.

Anyway, não quis denegrir a imagem do produto citando essa engine. Acharia tão louvável terem construído um firewall web do zero quanto criado um produto com este módulo (ou outra solução qualquer). Acredito que o grande desafio está realmente na criação das assinaturas.

Citar:

Originalmente enviado por dum_dum

De qualquer forma, você é bem vindo no desafio, inclusive para averiguar pessoalmente se é um mod_security.

Eu pretendo ir sim, mas ao evento, não ao desafio. Minha consultoria para analisar o sistema custaria mais do que o valor do prêmio... Se eu for, vai ser só pela camiseta!

./pedras > /dev/null

[]s, MM

dum_dum · #5 28/07/2007

Fala MM,

Citar:

Então me perdoem. É que a lista com as features são idênticas as do site do mod_security. Juro que eu fui lá confirmar antes de enviar essa mensagem.

Anyway, não quis denegrir a imagem do produto citando essa engine. Acharia tão louvável terem construído um firewall web do zero quanto criado um produto com este módulo (ou outra solução qualquer). Acredito que o grande desafio está realmente na criação das assinaturas.

Ok, sem problemas. Isso acontece porque criamos o layout de design do produto baseado nos que estão na internet, não somos especialistas em criação/design. hehehe

Não adianta nada ter uma base ótima de assinaturas se o seu parser é cheio de falhas que permitem evasões, etc. Mas as regras com certeza são importantes!

Citar:

Eu pretendo ir sim, mas ao evento, não ao desafio. Minha consultoria para analisar o sistema custaria mais do que o valor do prêmio... Se eu for, vai ser só pela camiseta!

./pedras > /dev/null

Pode participar apenas por diversão, não precisa publicar os resultados, so que consequentemente não ganha o prêmio. De qualquer forma você é bem vindo no evento também.

T+

[ ]'s

ALIG_wicked · #6 29/07/2007

Oi,

Se eu tiver tempo livre talvez participe .. se ganhar gostaria q o premio fosse enviado para UNICEF BRASIL...(gravem isso)

Mais meus queridos tava lendo sobre as vantagens produto..
deculpando minha ignorancia mais o q siguinifica:

..Capaz de analisar tráfego encriptado (TLS/SSL). ??

[s]
andre amorim

dum_dum · #7 14/08/2007

Olá,

Citar:

Originalmente enviado por ALIG_wicked

Oi,

Se eu tiver tempo livre talvez participe .. se ganhar gostaria q o premio fosse enviado para UNICEF BRASIL...(gravem isso)

Sem problemas, o dinheiro é endereçado diretamente a você, então você pode doar para quem quiser. De qualquer forma, é uma atitude nobre.

Citar:

Originalmente enviado por ALIG_wicked

Mais meus queridos tava lendo sobre as vantagens produto..
deculpando minha ignorancia mais o q siguinifica:

..Capaz de analisar tráfego encriptado (TLS/SSL). ??

[s]
andre amorim

Significa que o WebDefender é capaz de analisar o tráfego HTTPS (HTTP com criptografia - SSL) e detectar ataques nessa camada.

Essa feature é importante pois muitos atacantes avançados em um passado não muito distante realizavam todos seus ataques web em grandes empresas utilizando a camada HTTPS, pois a mesma não era muitas vezes analisada pelos IDS e IPS da epoca, consequentemente não gerava alertas de segurança.

t+

[ ]'s

gfmonteiro · #8 15/08/2007

Dum_Dum,

Voce poderia ser mais específico em relação a essa análise? É que ser capaz de analisar tráfego tls/ssl é muito abrangente.

dum_dum · #9 16/08/2007

Olá gfmonteiro,

Citar:

Originalmente enviado por gfmonteiro

Dum_Dum,

Voce poderia ser mais específico em relação a essa análise? É que ser capaz de analisar tráfego tls/ssl é muito abrangente.

Desculpe se não fui muito claro, o que eu quiz dizer, é que o software é capaz de detectar os ataques em sua lista de detecção (Website crawling, XSS, SQL Injection, Remote Code Execution, Alguns tipos de Overflow, etc) mesmo quando realizados em uma camada HTTP com Criptografia (HTTPS), que geralmente são _referenciados_ na internet como "site seguro".

http://pt.wikipedia.org/wiki/TLS

Se tiver alguma dúvida mais específica sinta-se a vontade para perguntar por aqui ou PM.

t+

[ ]'s

w41k · #10 10/11/2007

cat /etc/H2HCdesafioWebDefender.txt

Código:

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Parabens, Voce foi o vencedor do Capture The Flag do H2HC 2007! :) Equipe Security, WebDefender e H2HC. -----BEGIN PGP SIGNATURE----- Version: No Matter iQA/AwUBRypo9Zn6zXDYpzWjEQIpJACaAoWZ7TLbUHYcSUUmIchZR6nwxWEAoNVk +xvCFnwkI5T45hcU2q2UERdk =gtez -----END PGP SIGNATURE-----

ALIG_wicked · #11 11/11/2007

CONGRATULATIONS !!!

assim que puder, posta no sub-forum Penetration Tests a tecnica de Kung Fu usada

...

[s]
Andre

mmachado · #12 11/11/2007

w41k,

O desafio era vencer o WebDefender. Pela hora do seu post, o sistema de segurança já estava desligado (desde sexta, dia 9/11, de manhã) e se você esteve no H2HC, viu o próprio dum_dum demonstrar umas 4 ou 5 maneiras de chegar a esse arquivo.

ALIG, não era preciso um Kung Fu muito avançado para chegar até o arquivo alvo do desafio. O site estava cheio de problemas de desenvolvimento, mas o desafio era chegar nele apesar do WebDefender, o que ninguém fez ou assumiu ter feito.

[]s, MM

ALIG_wicked · #13 11/11/2007

Oops.. my bad then ...

Desculpa o vacilo...
..Mais mesmo assim o Dumdum, Vc ou quem foi pra H2HC poderia entao fazer o post ..explicando a parada

Mais realmente gostaria de parabenizar toda equipe que organizou o evento ! Eventos como H2HC realmente sao muito importantes para a comunidade brasileira de seguranca de TI, entender a seguranca sobre esse ponto de vista e incentivar a tecnologia nacional soh faz o enriquecer o pais..

PARABENS !

[s]

--Andre

colt7r · #14 11/11/2007

Citar:

Originalmente enviado por ALIG_wicked

Oops.. my bad then ...
..Mais mesmo assim o Dumdum, Vc ou quem foi pra H2HC poderia entao fazer o post ..explicando a parada

Peço o mesmo.

mmachado · #15 11/11/2007

Citar:

Originalmente enviado por ALIG_wicked

..Mais mesmo assim o Dumdum, Vc ou quem foi pra H2HC poderia entao fazer o post ..explicando a parada

Bom, existiam alguns arquivos do tipo "teste.php" com o phpinfo() pra te dar algumas informações, como o estado do magic_quotes e register_globals.

Se você deu uma olhada no site, havia uma página com alguns "serviços" que eram executados com exec() ou passthru(), mas estavam sem uma "input sanitization" adequada. Era possível injetar comandos do SO no php.

Também era possivel encontrar um db.inc em um dos diretórios, que dava acesso ao banco de dados e à parte restrita do site, onde haviam outras páginas com problemas do mesmo tipo.

A lista é grande...

[]s, MM

LinkBacks (?) LinkBack to this Thread: http://www.istf.com.br/vb/educacao-e-treinamento/11469-desafio-h2hc-2007-valendo-premio-em-dinheiro-bypass-webdefender-if-you-can.html
Enviado por	For	Type	Data
H2HC « just a nibble of…	This thread	Refback	14/08/2009 19:16
Events « Oscaraleeto	This thread	Refback	15/02/2009 00:25
Hacker 2 Hacker Conference IV Edition at BrasÃlia « just a nibble of…	This thread	Refback	25/01/2009 09:55
Oscaraleeto	This thread	Refback	12/01/2009 01:14

Ferramentas	Procurar neste tópico
Versão para impressão Enviar página por email	Procurar neste tópico: Busca avançada
Visualização
Modo linear Trocar para modo híbrido Trocar para modo thread

Leitores ativos neste tópico: 1 (0 usuários e 1 visitantes)