Diskussion Exploits im Forum besprechbar?

Mat

Aktives Mitglied
Moin,

können wir hier eigentlich Exploits in der Theorie besprechen oder fällt das unter "Anleitung zum 'Hacken'"? Damit meine ich sowohl das Besprechen von echten Exploits in freier Wildbahn (die schon gepatcht wurden) als auch Übungen für CTF, Hackmes und Crackmes oder wie auch immer die alle heißen.

Hängt im konkreten Fall damit zusammen, dass ich mir CTF-Übungen auf picoCTF angeschaut hab (man muss sich anmelden, um die Übungen zu sehen, aber lohnt sich). Dort gibt es in diverse Kategorien unterteilte Übungen, deren Lösung zwischen 50 und 500 Punkten wert sind (trivial bis schwer).

Hat Spaß gemacht, das zu bearbeiten. Aber die Kategorien waren zum Teil nicht sehr fordernd, und sogar bei Reverse Engineering konnte ich das meiste lösen, obwohl ich damit fast keine Erfahrung hab.

Deswegen habe ich jetzt eine Aufgabe aus "Binary Exploitation" versucht, an der ich grad ein wenig scheitere (ein Thema, das mir überhaupt nicht liegt). Das ist zwar nur mittelschwer, aber für meine Verhältnisse herausfordernd. :D Ich denke, ich weiß, was ich machen muss, aber mir fehlt die technische Umsetzung. Ich würde da gerne meine bisherige Lösung vorstellen und euch nach Pointern fragen (Wortspiel).

Das Problem ist, dass dabei in dem Thread eine funktionierende Exploit-Lösung entstehen würde, die man ganz theoretisch auch auf andere Programme anwenden könnte, die die gleiche Fehlimplementierung haben. Meiner Meinung nach kein Problem, weil es kein konkreter Crack oder Angriff ist, sondern nur zum Lernen gedacht ist. Wir hätten ja, glaube ich, auch kein Problem damit, wenn jemand konkrete SQL-Injections postet. Aber ich dachte, ich frage lieber vorher nach.
 

JR Cologne

Administrator
Teammitglied
Danke der Nachfrage!

Ich sehe da im Grunde auch kein Problem.
Ähnlich wie bei den SQL-Injections sollte natürlich der Zweck, die eigenen Anwendungen vor solchen Angriffszenarien zu schützen, im Vordergrund stehen.

Sprich: Man lernt, aus der Sicht des Angreifers zu denken und versucht die üblichen Techniken für einen möglichen Angriff anzuwenden, um so letztendlich Schwachstellen in den eigenen Anwendungen zu identifizieren und zu fixen.
 

aligator

Mitglied
Sehe ich genauso. Einziges Problem ist: viele der CTF webseiten wollen nicht dass man vollständige Lösungen im Internet postet, da es den Spaß für andere verderben kann.
 

Mat

Aktives Mitglied
Ok, dann schaue ich mir das nochmal heute oder morgen an und schreibe, was ich so bisher habe (im C-Unterforum, denke ich mal).

Einziges Problem ist: viele der CTF webseiten wollen nicht dass man vollständige Lösungen im Internet postet, da es den Spaß für andere verderben kann.

Das habe ich nur für zeitlich begrenzte CTFs gesehen, bei denen es um Preisgeld und Ränge geht. Nach Ablauf posten die auch selbst Lösungen.
 
Oben Unten