doc.tex

%!TEX option = --shell-escape
\documentclass[parskip=half]{scrartcl}

\usepackage[utf8]{inputenc}
\usepackage[T1]{fontenc}
\usepackage{microtype}
\usepackage[sfdefault,scale=0.85]{FiraSans}
\usepackage[scale=0.85]{FiraMono}

\usepackage[ngerman]{babel}
\usepackage[babel,german=quotes]{csquotes}
\usepackage{tabularx}
\usepackage{xltabular}
\usepackage[table,xcdraw]{xcolor}
\usepackage{graphicx}
\usepackage{svg}
\usepackage{datetime}
\usepackage{multirow}
\usepackage[hidelinks]{hyperref}
\usepackage{tikz}
\usepackage{pgfplots}
\usepackage{wrapfig}
\usepackage{pgfplotstable}
\usetikzlibrary{positioning,matrix,calc,shapes.misc}
\usepackage{comment}
\usepackage[german]{varioref}
\usepackage[german]{cleveref}
\usepackage[shortlabels]{enumitem}
\usepackage{booktabs}
\usepackage{suffix}
\usepackage{multicol}
\usepackage{xparse}
\usepackage{pdflscape}
\usepackage[headsepline,footsepline]{scrlayer-scrpage}
\clearpairofpagestyles

\renewcommand\sectionlinesformat[4]{%
  \makebox[0pt][r]{#3}#4%
}

\newcolumntype{Y}{>{\raggedright\let\newline\\\arraybackslash\hspace{0pt}}X}

\definecolor{matrixgreen}{HTML}{008F11}
\let\originalhref\href
\renewcommand\href[2]{\originalhref{#1}{\color{matrixgreen}{#2}}}%

\usepackage{listings}
\lstset{ 
  basicstyle=\scriptsize\ttfamily,
  breakatwhitespace=false,
  breaklines=true,
  captionpos=b,
  commentstyle=\color{green!50!black},
  keepspaces=true,
  keywordstyle=\color{blue},
  numbers=left,
  numbersep=5pt,
  numberstyle=\scriptsize\ttfamily,
  showspaces=false,
  showstringspaces=false,
  showtabs=false,
  stringstyle=\color{yellow!70!black},
  frame=single,
}
\lstset{literate=%
  {Ö}{{\"O}}1
  {Ä}{{\"A}}1
  {Ü}{{\"U}}1
  {ß}{{\ss}}1
  {ü}{{\"u}}1
  {ä}{{\"a}}1
  {ö}{{\"o}}1
}
\lstdefinelanguage{JavaScript}{
  keywords={typeof, new, true, false, catch, function, return, null, catch, switch, var, if, in, while, do, else, case, break},
  keywordstyle=\color{blue}\bfseries,
  ndkeywords={class, export, boolean, throw, implements, import, this},
  ndkeywordstyle=\color{darkgray}\bfseries,
  identifierstyle=\color{black},
  sensitive=false,
  comment=[l]{//},
  morecomment=[s]{/*}{*/},
  commentstyle=\color{purple}\ttfamily,
  stringstyle=\color{red}\ttfamily,
  morestring=[b]',
  morestring=[b]"
}

% Switch-case
\usepackage{xifthen}
\newcommand{\ifequals}[3]{\ifthenelse{\equal{#1}{#2}}{#3}{}}
\newcommand{\case}[2]{#1 #2}
\newenvironment{switch}[1]{\renewcommand{\case}{\ifequals{#1}}}{}

\definecolor{eclipseStrings}{RGB}{42,0.0,255}
\definecolor{eclipseKeywords}{RGB}{127,0,85}
\colorlet{numb}{magenta!60!black}


\lstdefinelanguage{json}{
    basicstyle=\normalfont\ttfamily,
    commentstyle=\color{eclipseStrings}, % style of comment
    stringstyle=\color{eclipseKeywords}, % style of strings
    numbers=left,
    numberstyle=\scriptsize,
    stepnumber=1,
    numbersep=8pt,
    showstringspaces=false,
    breaklines=true,
    %frame=lines,
    %backgroundcolor=\color{gray}, %only if you like
    string=[s]{"}{"},
    comment=[l]{:\ "},
    morecomment=[l]{:"},
    literate=
        *{0}{{{\color{numb}0}}}{1}
         {1}{{{\color{numb}1}}}{1}
         {2}{{{\color{numb}2}}}{1}
         {3}{{{\color{numb}3}}}{1}
         {4}{{{\color{numb}4}}}{1}
         {5}{{{\color{numb}5}}}{1}
         {6}{{{\color{numb}6}}}{1}
         {7}{{{\color{numb}7}}}{1}
         {8}{{{\color{numb}8}}}{1}
         {9}{{{\color{numb}9}}}{1}
}

\ihead{HackerContest}
\ohead{CTF-Challenge \enquote{Trinity}}
\ofoot{\large Seite \thepage}

\begin{document}
\begin{titlepage}
\begin{tikzpicture}[overlay,remember picture,inner sep=0mm]
    \draw[draw=gray,thick] (current page.west) to ++(50mm,0) to ++(0,-100mm) to ++(120mm,0) to ++(0,-50mm);
    \draw[draw=matrixgreen,thick,dashed] ($(current page.west) - (0,5mm)$) to ++(55mm,0) to ++(0,-100mm) to ++(140mm,0);
    \node[text width=0.5\textwidth,align=center] at ($(current page.north) - (0,40mm)$) {\includegraphics[height=45mm]{img/ninja.png}\\[5pt]\Large \textrm{P{\color{red!50!black}O}SIX}Ninjas};
    \node[text width=155mm,align=left] at ($(current page.center) + (0,50mm)$) {
        Konrad Langenberg, Jonas Franz und Simon Hilchenbach\\[6pt]
        {\color{matrixgreen}\Huge Anfertigung einer eigenen CTF-Challenge
        mit Schwerpunkt Privilege Escalation}\\[6pt]
        \textbf{Dozenten}: Matthias Göhring und Markus Schader
    };
    \node (table) at ($(current page.center) + (20mm,-10mm)$) {\begin{tabular}{@{}llr@{}}
        \textbf{Challengename}: & Trinity \\
        \textbf{Basissystem}:   & Alpine Linux\\
        \textbf{Kategorie}:     & Privilege Escalation \\
    \end{tabular}};
    \node[below=20mm of table] {
        \includesvg[width=60mm]{img/hda_logo.svg}
    };
\end{tikzpicture}
\end{titlepage}


\tableofcontents

\clearpage
\section{Einleitung}
\input{story.tex}

\section{Inbetriebnahme}
Die Challenge wird als Docker-Container deployed.
Es wird mindestens ein Linux-Kernel in Version 4.3 benötigt (der letzte Schritt benutzt im Code den Systemaufruf \texttt{prctl(2)} mit dem Flag \texttt{PR\_CAP\_AMBIENT}, welches ab dieser Version unterstützt wird).
Ein bereits kompiliertes Docker-Image steht mit \texttt{registry.code.fbi.h-da.de/hc/trinity} zur Verfügung.
Alternativ kann das Docker-Image auch selbst unter Eingabe von \texttt{make} im Wurzelverzeichnis des Projekts kompiliert werden.
Die Kompilierung findet vollständig isoliert in Docker statt.

Mit dem folgenden Befehl kann der Docker-Container erstellt und gestartet werden:
\begin{lstlisting}
docker run --rm --name trinity registry.code.fbi.h-da.de/hc/trinity
\end{lstlisting}

Anschließend kann über \texttt{docker inspect} die IP-Adresse des Containers ausgelesen werden:
\begin{lstlisting}
docker inspect -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' trinity
\end{lstlisting}

\textbf{Hinweis}: Unter \emph{Docker for macOS} ist es nicht möglich, die IP-Adresse des Containers direkt vom Host anzusprechen.
In diesem Fall müssen im \texttt{docker run} selbst noch die Parameter \texttt{-p 22:22} und \texttt{-p 80:80} angegeben werden, sodass diese beiden Ports über \texttt{localhost} erreichbar sind.

\section{Walkthrough}
\input{frontend/doc.tex}
\input{video/doc.tex}
\input{devlogin/doc.tex}
\input{dejavu/doc.tex}

\clearpage
\section{Bemerkungen}
\subsection{Schwierigkeitsgrad}
An einigen Stellen in der Challenge mussten wir abwägen, wie leicht oder schwierig wir einen Schritt gestalten, wie viele Hinweise wir geben und wie viel Zeit ein Schritt erfordert.

So wurden beispielsweise im ersten Schritt die Zugangsdaten direkt in die HTML-Datei geschrieben.
Ein Bruteforcing wäre zwar in relativ kurzer Zeit möglich gewesen, halten wir aber als ersten Schritt für demotivierend und einen geringen Lerneffekt.

Des Weiteren findet sich im Screenshot ein Hinweis auf die Linux~Capabilities.
Diesen haben wir eingebaut, da wir vermuten, dass die meisten Studenten (die ja in der Lage sein sollen, diese Challenge zu lösen) wenig vertraut mit diesem Linux-Feature sind bzw. möglicherweise dieses garnicht kennen.
Ein Privilege-Escalation-Skript wie \texttt{linpeas.sh} findet die gesetzte Capability jedoch.

Ferner wäre auch ein Weglassen des \texttt{dejavu}-Quellcodes möglich gewesen, mit entsprechend benötigtem Zeitaufwand für diesen Schritt.

\subsection{Limitierungen}
Im Framebuffer-Schritt wird kein echter Framebuffer (das wäre ein Character-Device) gedumpt, sondern nur eine readonly-Datei mit identischen Berechtigungen. 
Das liegt daran, dass der Docker-Container nicht die nötigen Privilegien besitzt, um ein \texttt{devfs} mit einem eigenen Framebuffer-Device zu mounten.
Auch können wir dadurch leider nicht die Bildschirmauflösung in \texttt{sysfs} ausgeben; es bleibt ein überschriebenes \texttt{fbset}-Programm mit statischer Ausgabe.

\end{document}