👑 KING OF THE HILL HACKER COMPETITION
> Vítejte v reálné zkoušce vašich IT dovedností.
Teorie bylo dost, nyní je čas na praxi. Kdesi v síti běží speciálně připravený linuxový server. Je děravý, špatně nakonfigurovaný a čeká, až ho někdo z vás ovládne.
Vaším úkolem je najít cestu dovnitř, eskalovat svá práva na administrátora (root) a zapsat své jméno do souboru /root/king.txt. Tím to ale nekončí – jakmile jste uvnitř, musíte server zabezpečit tak, aby vás z něj ostatní spolužáci nevyhodili.
Cíle a Hodnocení
First Blood
Získá ji student, který jako úplně první dokáže proniknout do systému, získat práva roota a zapsat se do souboru king.txt. Tento zápis je trvalý a automatický systém ho zaznamená na scoreboard.
Last Man Standing
Získá ji student, jehož jméno bude svítit na pozici aktuálního vládce serveru při ukončení soutěže (31. 5. ve 12:00) na scoreboardu.
Snaha se cení
Získá ho každý student, který na konci soutěže odevzdá svůj Hackerův deník, i když se mu nepodařilo na server proniknout, nebyl první, nebo si pozici neudržel. Hodnotí se zdokumentovaný postup, zkoušení nástrojů a snaha o průzkum.
Poznámka: Scoreboard i cílový server jsou přístupné pouze ze zařízení připojeného k VPN Tailscale. Bez aktivního připojení se na žebříček nepodíváte.
Jak se připojit (Tailscale)
Server je skrytý za privátní virtuální sítí (VPN), aby na něj neútočili roboti z internetu, ale pouze vy. Abyste na server vůbec "viděli", musíte se připojit:
- Stáhněte a nainstalujte si klienta Tailscale (dostupný pro Windows, macOS i Linux) z oficiálního webu.
- Spusťte Tailscale a přihlaste se NE pomocí školního Microsoft účtu / školního emailu a speciálního odkazu na MS Teams.
- Jakmile jste úspěšně v síti Tailscale, můžete začít zkoumat cílový server.
SKRYTO DO STARTU
* Bez aktivního připojení k Tailscale VPN nebude fungovat ani přístup na scoreboard.
Pravidla hry (Hackerův kodex)
Kyberbezpečnost není anarchie. Aby soutěž byla férová a legální, platí následující přísná pravidla. Porušení kteréhokoliv z nich znamená okamžité vyloučení ze hry a hodnocení nedostatečně (5).
Klávesnice a myš jsou jediné zbraně
(Zákaz fyzického nátlaku) Je absolutně zakázáno získávat přístupové údaje pomocí fyzického nátlaku, výhrůžek, vydírání nebo krádeže taháků z lavice. Hrajeme čistě digitálně.
Zákaz sociálního inženýrství
(Žádný phishing a okukování) Zákaz koukání přes rameno (shoulder surfing). Zákaz posílání podvodných e-mailů nebo zpráv spolužákům s cílem vylákat z nich hesla. Útočí se výhradně na kód serveru, ne na lidskou chybu.
Scope of Rules (Hranice bojiště)
Cílem je pouze a jedině IP adresa přiděleného VPS (SKRYTO DO STARTU). Je přísně zakázáno útočit na školní síť, počítače spolužáků, učitele nebo infrastrukturu VPS poskytovatele (hosting).
Zákaz „spálené země“ (Denial of Service)
Cílem je server ovládat, ne ho zničit. Jsou zakázány záměrné destruktivní příkazy typu mazání celého disku (rm -rf /), úmyslné shazování sítě nebo DDoS útoky. Pokud se vám ale podaří server shodit neúmyslně nebo omylem, neprodleně mě kontaktujte – server obnovím ze zálohy, aby se mohlo pokračovat.
Bez deníku není hodnocení
Hackerův deník je povinný pro získání jakékoliv odměny (jedničky i pluska). Pokud se někdo dostane na server, ale nedokáže v deníku přesně vysvětlit krok za krokem, co udělal, jednička se nepočítá. Toto pravidlo eliminuje náhodné hádání nebo "vykecání" hesla o přestávce. Odevzdat ho ale musí všichni, kteří chtějí získat plus za aktivitu.
Jak má vypadat Hackerův deník?
Nehledáme literární dílo, ale technický report. Můžete si ho psát do Wordu, Google Docs nebo obyčejného Notepadu. Pro uznání bodů musí obsahovat:
Fáze průzkumu
Jaké porty a služby jste na serveru objevili? Jaké nástroje jste použili?
Fáze průniku
Jakou zranitelnost nebo chybu jste zneužili pro první přístup? Jaký příkaz k tomu vedl? (Pokud jste se na server nedostali, popište detailně své pokusy).
Eskalace privilegií
Jak jste se z běžného uživatele stali administrátorem (root)?
Obrana (Zabezpečení)
Co přesně jste na serveru změnili (hesla, soubory, práva), abyste zabránili ostatním využít stejnou díru?
Poznámka: Veškeré příkazy zadané na serveru se logují. Váš deník se musí shodovat se systémovými záznamy. Hodně štěstí.