Competencia de Captura la Bandera en Ekoparty 2023: GitHub como plataforma central

Elena Digital López

GitHub, en su papel de patrocinador de Ekoparty 2023, volvió a presentar varios desafíos en la competencia Capture The Flag (CTF). Empleados de toda la organización de Seguridad de GitHub participaron en la creación de estos problemas, diseñados para ser educativos y desafiantes para los competidores.

Este año, el tema se centró nuevamente en las funcionalidades de GitHub y Git, proporcionando desafíos relevantes y educativos para los usuarios, mientras se abordaban problemas comunes en el uso de estas herramientas. La temática retro de 2023 llevó a los participantes a la ficticia OctoHigh High School en el año 1994.

Uno de los desafíos destacados fue «Entrypoint», en el que los participantes debían encontrar una bandera oculta en un repositorio privado de GitHub, con una pista obvia en los comentarios de las instrucciones de registro. El archivo README.md del repositorio contenía caracteres no alfanuméricos, utilizando homoglifos difíciles de detectar manualmente. La solución ideal era programática y se ofreció un script en Python para revelar la bandera.

Otro desafío interesante fue «Snarky Comments», que exploraba la posibilidad de inyección de código al analizar el contenido de un problema en GitHub. Los participantes debían explotar una plantilla de problemas para ejecutar comandos arbitrarios y revelar un secreto.

El desafío «Fork & Knife» se centró en GitHub Actions y el uso del comando “pull_request_target” en un entorno no confiable. Los jugadores tenían que abrir un pull request para ejecutar un script que desvelara un secreto mediante esta funcionalidad.

«Git #1» y «Git #2» fueron otros dos desafíos que abordaron la mecánica de los repositorios Git. El primero exigía identificar diferencias entre un repositorio real y una versión alterada en un servidor remoto. El segundo implicaba usar un Dockerfile para leer un archivo hash y aprovechar una configuración particular de Git para acceder a un commit eliminado.

Ekoparty 2023 ofreció así una plataforma educativa y entretenida para que la comunidad de seguridad se enfrentara a desafíos complejos y aprendiera sobre el uso seguro de GitHub y Git. GitHub expresó su agradecimiento a Ekoparty por la oportunidad de participar y contribuir al evento, esperando con entusiasmo los desafíos futuros.

Scroll al inicio