Ha sido realmente divertido haber organizado este primer wargame en Internet (aunque ya llevamos tres en la Campus Party), pero es momento de darle cierre, esperar un tiempecito e ir preparando el siguiente.
Así que este lunes 24 a las 00:01 GMT, el portal de pruebas y las pruebas en sí estarán inaccesibles, ¡¡aún queda un fin de semana más para aquellos que se animen!!
Agradeceros a todos la pasión y las ganas con las que habéis participado.
El primer puesto (a falta de recibir el solucionario) es el grupo español Int3pids, formado por: Dreyer (@dreyercito), Uri, Kachakil (@kachakil), Nullsub (@marioballano), Whats (@whatsbcn) y RomanSoft (@roman_soft). En cuanto nos hagan llegar el documento y lo validemos, será publicado.
El segundo puesto queda para otro grupo español, painsec, que tiene entre sus filas a: 0xroot, Alone, BatchDrake, bNull, Dade, knx, MFox, NighterMan y Sakebomb
Felicitar también a todos los que han participado individualmente o con grupos muy pequeños, como trasnos o pepeluxx/ok5boy por ser tan persistentes y habérselo trabajado tanto para alcanzar los puestos superiores de la tabla.
- Número de participantes: 512
- Número de países distintos: 47
- Top participación por paises:
- 304 España
- 50 Colombia
- 26 Mexíco
- 24 Argentina
- 11 Peru
- 7 USA
- 7 Afganistan
- 6 Francia
- Pruebas superadas:
- tri01: 244 tri02: 36 tri03: 87
- net01: 27 net02: 19 net03: 2
- bin01: 48 bin02: 8 bin03: 14
- cry01: 8 cry02: 3 cry03: [suspendida]
- web01: 11 web02: 2 web03: 13
Alguien que pensó que lo mismo con un XSS se superaba la prueba (en un fichero que no existía):
[error] [83.165.52.XX] File does not exist: /var/www/js/1<script> prompt(973707)</script>
La frase de la herramienta w3af es graciosilla, aunque imagino que no le sirvió demasiado:
87.217.147.XX - - "ALL YOUR BASE ARE BELONG TO US" 400 226 "-" "w3af.sourceforge.net"En los registros del FTP también hubo de todo, como alguien que le deseó la muerte al pobre servicio:
:D [2141] 34.Red-79-156-XX [16/Jan/2011:15:37:55 +0100] "USER anonymous" 331 :D [2142] 34.Red-79-156-XX [16/Jan/2011:15:37:55 +0100] "USER anonymous" 331 :D [2141] 34.Red-79-156-XX [16/Jan/2011:15:37:55 +0100] "PASS (hidden)" 530 :D [2142] 34.Red-79-156-XX [16/Jan/2011:15:37:55 +0100] "PASS (hidden)" 530 :D [2143] 34.Red-79-156-XX [16/Jan/2011:15:37:55 +0100] "DIE" 500O uno que se divirtió hablando con el:
:D [12652] 190.254.21.XX "BUFERRRRRRR" 500 :D [12652] 190.254.21.XX "=)" 500 :D [12652] 190.254.21.XX ":D" 500 :D [12652] 190.254.21.XX "AJA dale" 500 :D [12734] 190.254.21.XX "VERSION" 500 :D [12734] 190.254.21.XX "LOGIN" 500 :D [12734] 190.254.21.XX "SU" 500 :D [12734] 190.254.21.XX "SOMETIMES work fine???, seems the data must be in time... so, maybe some packages were lost?" 500 :D [12734] 190.254.21.XX "OK ok not matter let's continue" 500 :D [12734] 190.254.21.XX "YOUR turn" 500 :D [12734] 190.254.21.XX "OPEN" 500 :D [12734] 190.254.21.XX "SESAME" 500 :D [12734] 190.254.21.XX ":)JAJAJAJAJA" 500 :D [12734] 190.254.21.XX "USER user" 331 :D [12734] 190.254.21.XX "USER" 500 :D [12734] 190.254.21.XX "PASS (hidden)" 530 :D [12734] 190.254.21.XX "USER user" 331 :D [12734] 190.254.21.XX "PASS (hidden)" 530 :D [12734] 190.254.21.XX "AUTH" 500 :D [12734] 190.254.21.XX "AUTH*" 500 :D [12797] 190.254.21.XX "AQUIOT" 500 :D [12833] 190.254.21.XX "MMM may be first is telnet and second is port knocking :)" 500 :D [12833] 190.254.21.XX "USER anonymouse" 331 :D [12833] 190.254.21.XX "PASS (hidden)" 530 :D [12833] 190.254.21.XX "USER annonymous" 331 :D [12833] 190.254.21.XX "PASS (hidden)" 530 :D [12833] 190.254.21.XX "SEARCH google anonymouse" 500 :D [12833] 190.254.21.XX "JAJAJAJAJAJA" 500 :D [12833] 190.254.21.XX "IM talking to you !!!!!" 500 :D [12833] 190.254.21.XX "JAJAJA" 500 :D [12833] 190.254.21.XX "CHGRP" 500 :D [12833] 190.254.21.XX "FLZHEI" 500 :D [12833] 190.254.21.XX "HEHEILPIIIIIIIIIIII" 500 :D [12833] 190.254.21.XX "FILEZILLA" 500 :D [12833] 190.254.21.XX "CCC" 500
Anda que si este GET da un 200, menuda alegría:
[error] [client 82.158.41.XX] "/var/www/soluciones.php" not found or unable to stat
19 comments :
Ha sido un verdadero placer haber visto por primera vez como se mueve esto, aunque yo ni me he enterado la verdad. Por eso estoy deseando ver las soluciones a los retos.
Enhora buena a SBD y por supuesto a los campeones, que son para mi y otros muchos, fuente de inspiración.
Yo también tengo ganas de ver la solución, para ver como va el tema e intentar empezar a participar en estas cosillas...
que ya es hora..
Gracias por todo, habéis hecho que me sienta como un completo inútil :'(
... xdd
El hecho de que los ganadores sean grupos formados por gente que controla me quita un poco el mal sabor de poca, pero espero que expliquéis un poco los retos para que podamos intentar al menos lo más fáciles. No, un poco no, ¡queremos una explicación completa! Plis...
Esperando ese writeup ..., Felicidades a todos los participantes, ha estado interesante el ranking de los 15 MEJORES, competitivo si señor
@Anonimo estoy contigo ... una explicación (detallada) como la que hizo pepelux para las pruebas de rootedcon seria genial :)
Gracias chicos. Esperamos el próximo :)
Estuvo bien bueno......Saludes desde Colombia
así que hemos sido los terceros en resolver web02... genial!
ha valido la pena el sudor y el mal trago que nos ha hecho pasar.
enhorabuena por el CTF, ha sido genial volver a pegarse con los grandes.
¿¿¿Y no podremos jugar después con las soluciones en la mano??? Los torpes apenas nos hemos enterado que hacer en las pruebas!!!
Gracias por el esfuerzo... sin vosotros no aprenderíamos!!!
A mi me gustaría saber como se resolvieron algunas de las pruebas. ¿Publicareis las soluciones?
Qué decir... he disfrutado mucho del wargame, y sería interesante que otros blogs tuvieran iniciativas así.
Las gracias a ustedes, por el trabajo que supone hacer un esfuerzo tan grande para hacernos disfrutar, y al resto de participantes por la gran acogida que han tenido.
Espero el siguiente, un saludo!
por cierto, mi twitter es pepeluxx (con 2 x) jeje
el otro es un rockero, que estará flipando :)
muy divertido, esperando a repasar las soluciones. Muchas gracias por organizarlo.
Me he reido mucho con el último get xD
Un placer haber participado. Una pena no haber conseguido terminar el net03, pero gracias a la semanita extra hemos llegado muy lejos, mucho más de lo que esperaba ;-)
Felicidades por todo, ha sido genial, y he aprendido un montón del odioso openssl y del maldito wireshark :-D. No tengo nada que achacar a la organización, muy al contrario: felicitaros de nuevo... excepto por una pequeña pega: los captchas eran bastante difíciles de leer, y cuando me salieron en hebreo y en griego os podéis imaginar mi cara X-DDD
Y a los demás participantes, daros la enhorabuena a todos: en especial, claro, a los int3pids y a los painsec, pero también a los que habéis puesto vuestro mejor esfuerzo. Espero veros pronto a los que ya conozco, aunque me temo que este año no hay rooted para mi.
Un saludo, y gracias!
¡¡Muchas gracias por el reto!!
Me lo he pasado de pm, he aprendido varias cosas y espero aprender aún más con la solución, así que un gustazo en todos los sentidos :-).
Un par de consideraciones, espero que constructivas:
- Mi sensación es que la dificultad de algunos retos no se correspondía con el nivel asignado.
- El primer nivel de las pruebas ya me pareció difícil, sin saber por dónde tirar, y creo que eso ha podido desanimar a gente de participar.
Saludos y gracias otra vez!!
Ha estado genial, y lo que me he reido ahora con las conversaciones con la máquina!!
Como hemos comentado, las soluciones se publicarán.
Nos hemos prometido que el siguiente tenga más pruebas y de niveles mucho más variados.
Un saludo y gracias a todos!
Hola,
Sería muy interesante que después con las soluciones pudiéramos de alguna manera testearlas de nuevo...Habría alguna posibilidad? Somos muchos los que deseamos aprender....
Gracias y saludos!!!
Ha estado genial, y lo que me he reido ahora con las conversaciones con la máquina!!
Publicar un comentario