Event Challenge — Minecraft Exploit: The Imposter Protocol

Story

Der Server "ObsidianVault" dient als toter Briefkasten für eine Untergrund-Hacker-Gruppe. Der Administrator, bekannt als secretadmin, glaubt, dass seine Daten sicher sind, weil nur er physischen Zugriff auf das Gerät mit seinem Account hat.

Die sensiblen Koordinaten für den nächsten Angriff – die Flag – liegen in einem signierten Buch in seinem Inventar. Solange niemand Zugriff auf seinen Account bekommt, bleibt alles geheim.

Ein Netzwerk-Scan zeigt jedoch: Der Server wurde neu gestartet und die server.properties wurden auf Standardwerte zurückgesetzt – mit einer fatalen Ausnahme:

// kritische Server-Konfiguration

online-mode=false

Der Server verifiziert keine Mojang-Session-Tokens mehr. Die Identität ist nicht mehr kryptografisch gesichert – sie hängt nur noch an einer Zeichenkette: dem Benutzernamen.

Ziel

1. Identifiziere den genauen Benutzernamen des Administrators.
2. Nutze einen alternativen Client / Launcher, der keine offizielle Mojang-Authentifizierung erzwingt, um dich mit diesem Namen einzuloggen.
3. Verschaffe dir Zugriff auf das Inventar des Admins und lies das signierte Buch, um die Flag zu erhalten.

Flag-Format

ctfgame{}

Auf dem Live-Server steht die Flag im signierten Buch. Hier auf der Seite kannst du sie nach der erfolgreichen Ausführung eintragen und „einlösen“.

Aufgaben & Flag-Einlösung

1) Was ist das Sicherheitsproblem bei `online-mode=false`?

(Kurze Verständnisfrage, bevor du die Flag einlöst.)

Der Server überprüft keine Mojang-Session-Tokens mehr – ein Client kann sich mit einem frei gewählten Namen einloggen. Der Server wird nur schneller, Authentifizierung bleibt sicher. Es betrifft nur Texture-Packs, nicht die Login-Sicherheit.

2) Flag eintragen

Trage hier die Flag ein, die du im signierten Buch im Inventar des Administrators gefunden hast.

Achte auf exakte Schreibweise (Klammern, Klein-/Großschreibung).

Noch nicht geprüft

Event-Guide

Hole dir Server-Adresse & Version beim Event-Team.
Nutze einen Client/Launcher ohne Zwangs-Login bei Mojang.
Verbinde dich mit dem Ziel-Benutzernamen.
Verschaffe dir Zugriff auf das Inventar des Admins.
Lies das signierte Buch und notiere dir die Flag.

Wichtig

Die Challenge findet ausschließlich auf einem dafür vorbereiteten Event-Server statt. Das Ausnutzen ähnlicher Konfigurationen auf fremden oder produktiven Systemen ist nicht erlaubt.

Keine Writeups

Es wird keine offiziellen Lösungen oder nachträglichen Tipps geben. Die Challenge ist exklusiv fürs Event gedacht – alles hängt von deiner eigenen Analyse ab.

Story

Ziel

Aufgaben & Flag-Einlösung

1) Was ist das Sicherheitsproblem bei online-mode=false?

2) Flag eintragen

1) Was ist das Sicherheitsproblem bei `online-mode=false`?