Competencia de captura la bandera en Ekoparty 2023: GitHub como plataforma central

Elena Digital López

GitHub, en su papel de patrocinador de Ekoparty 2023, destacó una vez más con la presentación de varios desafíos en la competencia Capture The Flag (CTF) del evento. Empleados de toda la organización de Seguridad de GitHub se unieron para idear, planificar, construir y probar estos desafíos, con el objetivo de crear problemas atractivos, educativos y desafiantes que pusieran a prueba las habilidades de los participantes.

Este año, el enfoque central volvió a ser GitHub y la funcionalidad de Git. La meta era proporcionar desafíos contextualmente relevantes para los usuarios de GitHub, así como educar a la comunidad de seguridad sobre los problemas comunes al utilizar estas herramientas. La temática elegida fue «retro», con varios desafíos que giraron en torno a la ficticia OctoHigh High School en el año 1994.

Uno de los desafíos más destacados fue «Entrypoint». En este reto, los participantes debían encontrar una bandera oculta dentro de un repositorio privado en GitHub. Se les daba una pista evidente en los comentarios de las instrucciones de registro, indicando que había una bandera oculta en el repositorio. El archivo README.md contenía caracteres fuera del espacio a-zA-Z0-9, lo que hacía que una solución programática fuera más eficiente. Se proporcionó un script en Python para extraer estos caracteres no coincidentes y así revelar la bandera.

Otro reto interesante fue «Snarky Comments», el cual se centró en la posibilidad de inyección de código al analizar el cuerpo de un problema en GitHub. Los jugadores tenían que crear un problema en su repositorio de desafíos utilizando una plantilla y luego explotarlo para ejecutar comandos arbitrarios y sacar a la luz el contenido de un secreto.

El desafío «Fork & Knife» se enfocó en GitHub Actions, resaltando el uso problemático de «pull_request_target» en un contexto no confiable y sensible. Los participantes debían abrir un pull request que ejecutara un script para revelar un secreto utilizando esta funcionalidad específica.

Además, otros dos desafíos, «Git #1» y «Git #2», se concentraron en la mecánica de un repositorio Git. El primero obligaba a los jugadores a encontrar diferencias entre un repositorio real y una versión modificada disponible en un servidor remoto. El segundo desafío implicaba usar un Dockerfile, leer un archivo hash y aprovechar una configuración específica de Git para obtener el contenido de un commit eliminado.

En resumen, Ekoparty 2023 fue una ocasión educativa y entretenida para que la comunidad de seguridad se enfrentara a problemas desafiantes y aprendiera más sobre el uso seguro de GitHub y las herramientas de Git. GitHub expresó su agradecimiento a Ekoparty por la oportunidad de contribuir nuevamente al evento y espera con ansias los desafíos del próximo año.

Scroll al inicio