"White Hats for Future"-Hacking Challenge der Hochschule Augsburg

In der Zeit vom 8. bis 15. Februar 2022 fand die zum zweiten Mal die "White Hats for Future"-Hacking Challenge der Hochschule Augsburg statt. Unser Mathelehrer Herr Unger hat uns hierüber informiert und motiviert teil zu nehmen.

Es ging dabei darum, dass man eine Datei bekam und die darin versteckte Flagge (eine Zeichenkette im Format HSAINNOS{…}) finden musste. Teilnehmen konnte man als Einzelperson oder als Team.

Ich fand das spannend und dachte, da bin ich dabei. Somit machte ich mich voller Elan daran, die Aufgaben anzugehen.

Hier ein paar der Aufgaben und wie ich sie gelöst habe:

"Sharing is Caring"

Bei dieser Aufgabe bekam man ein Bild, auf dem dreimal der gleiche QR-Code zu sehen war, jedoch jeweils an drei unterschiedlichen Stellen ein Teil verdeckt war. Hierbei hat es genügt, zwei QR-Codes in einem Bildbearbeitungsprogramm zu überlappen, so dass die jeweils sichtbaren Teile sich ergänzen. Trotzdem konnte man den QR-Code nicht öffnen. Das lag daran, dass QR-Codes in der Praxis zwar meist für Links genutzt werden, aber eigentlich nur ein Datenspeicher sind. Mit Hilfe einer Website konnte ich die Daten des QR-Codes extrahieren und bekam so die Flagge.

"Unzip me!"

Hierbei handelte es sich um eine Zip Datei. Beim Versuch, die darin enthaltenen index.html Datei zu extrahieren wurde ich aufgefordert, ein Passwort einzugeben. Natürlich könnte man jetzt mit einem Brute-Force Angriff alle möglichen Kombinationen ausprobieren, aber das würde ewig dauern und die Challenge wäre bis dahin schon längst vorbei. Deshalb habe ich recherchiert und kam auf die Known-plaintext attack. Dies ist eine Möglichkeit, eine Verschlüsselung zu brechen, wenn man einen Teil des Klartexts (dem sogenannten Crib) des verschlüsselten Textes kennt. In diesem Fall wusste ich, dass es sich bei der Datei um eine HTML Datei handelt und solche beginnen in den meisten Fällen mit "<!DOCTYPE html>". Mit diesem Crib und einem Tool namens pkcrack, dass den oben genannten Angriff für mich ausführt, konnte ich index.html in weniger als zwei Stunden entschlüsseln und somit die Flagge erhalten.

Zwei Aufgaben konnte ich nicht lösen. Aber bei einem Gesamtergebnis von 930 Punkten von möglichen 1030 Punkten war ich der Meinung, dass ich gar nicht mal so schlecht war.

Am Tag nach der Challenge bekam ich dann eine E-Mail, in der mir zum grandiosen Erfolg gratuliert wurde und ob ich an der Zoom Siegerehrung teilnehmen kann. Ein wenig stolz habe ich zugesagt.

Bei der Siegerehrung habe ich dann erfahren, dass ich von ca. 500 Teilnehmern die beste Einzelleistung erreicht habe.

Ich bekam dann per Post meinen Gewinner-Preis. Darin enthalten ein Arduino-Starter-Kit mit Roboterarm und Bastlerkit vom Sponsor KUKA und weitere tolle Sachen, wie auf dem Foto zu sehen.

Nächstes Jahr bin ich auf jeden Fall wieder dabei!

Wer sich auch mit diesem Thema beschäftigt oder Fragen dazu hat kann gern auf mich zukommen.

Tim, 10b

HackingChallenge

HackingChallengePreise