RaumZeitLabor

200m² Digitalkultur im Rhein-Neckar-Dreieck


Bild © CC-BY 2.0 Tim Weber

Neuigkeiten

Neue Generation der Squareroots bei ihrem zweiten gemeinsamen Attack/Defense-CTF

veröffentlicht am 12. November 2025

Am vergangenen Wochenende haben die Squareroots nach ihrem Comeback vor einem Monat erneut an einem gemeinsamen Attack/Defense-CTF teilgenommen: dem SaarCTF 2025, organisiert vom Team Saarsec. Zielstrebig, vorbereitet und mit neuer Energie erreichten sie Platz 23 von rund 290 angemeldeten Teams — eine starke Leistung der noch jungen Generation an Flaggenjägern.

Bei einem Attack/Defense-CTF erhält jedes Team identische virtuelle Maschinen mit verschiedenen Services (z. B. Web-, Telnet- oder Mail-Servern). Die Aufgabe: Schwachstellen finden und schließen, um die eigenen Flaggen zu schützen — und gleichzeitig die Systeme der anderen Teams angreifen, um deren Flaggen zu erobern.

Im Unterschied zum ersten gemeinsamen CTF lag unser Fokus diesmal nicht nur auf Verteidigung. Mit vorbereiteten Tools wie einer Traffic‑Analyse, einem automatisierten Flag‑Submitting‑Framework und einer Exploit‑Toolchain sind wir offensiv aktiv geworden. Verteidigung war Pflicht, Angriff unser Ziel — und mit über 39.000 eroberten Flaggen haben wir dieses Ziel erreicht!

Die Challenges im Überblick

Das diesjährige SaarCTF stellte acht Dienste bereit – von Kryptographie über Binary-Exploits bis zu Web-Services:

  • BlockRope: ein in Python geschriebener Telnet‑Server mit Path‑Manipulation‑Lücke. Exploit entwickelt.
  • Calendar: eine kompilierte Anwendung mit Redis‑Datenbank. Enthielt eine Lua‑Code‑Injection und einen Heap‑Buffer‑Overflow.
  • Licenser: kompilierte Anwendung mit Remote‑Code‑Execution Lücke (RCE).
  • No‑Service: hatte keine eigene Sicherheitslücke, konnte aber über andere verwundbare Dienste kompromittiert werden.
  • RCEaaS: CMD‑Emulator in Rust („ACMD‑ähnlich“). Anfällig für Path‑Traversal und RCE. Mehrere Exploits entstanden.
  • Routerploit: PHP‑basierter Webshop mit fehlerhafter Rechteprüfung. Zwei unterschiedliche Exploits implementiert.
  • SSSG: Multi‑Webserver mit OAuth‑Flow. Enthielt eine RCE.
  • SaarLandCryptoGalore: nutzte einen Linear Congruential Generator (LCG) zur Verschlüsselung und war anfällig für einen Known‑Plaintext‑Angriff.

Fazit

Wir sind mehr als zufrieden: Die Squareroots haben gezeigt, dass sie nach dem Comeback nicht nur defensiv stabil sind, sondern auch offensiv angreifen können. Die Kombination aus guter Vorbereitung, passender Toolchain und entschlossener Durchführung spiegelt sich im Ergebnis wider — Platz 23 von rund 290 Teams spricht für sich.

Wenn du Lust hast, bei einem CTF mitzumachen oder einfach Interesse am Thema und Austausch hast, melde dich gerne bei uns!

Wie kannst du uns erreichen

Matrix: #rzl-ctf:hax404.de Oder komm einfach an einen unserer zweiwöchentlichen treffen im RaumZeitLabor vorbei. Im Kalendar kannst du die Tage & Uhrzeiten finden: Link

 

itronik

Laborant

Was?
Teilnahme SaarCTF
Wann?
08.11.2025
Wo?
RZL

Die Squareroots sind zurück

veröffentlicht am 18. Oktober 2025

Das CTF-Hacking-Team Squareroots, das sich 2006 an der Universität Mannheim gegründet hat, hat sich mithilfe des RaumZeitLabors und des Chaos Computer Clubs Mannheim neu aufgestellt und mit neuen CTF-Spielern eine weitere Generation begeisterter Hacker gewonnen. Nach einer längeren Pause ohne aktives Team haben sich alte und neue Squareroots für ihr erstes gemeinsames Attack/Defense-Capture-the-Flag, das FaustCTF 2025, angemeldet.

Bei diesem Wettbewerbsformat erhält jedes Team identische virtuelle Maschinen mit verschiedenen Diensten (z. B. Web-, Telnet- oder Mail-Servern). Ziel ist es, sicherheitsrelevante Schwachstellen zu finden, diese im eigenen System zu beheben und bei anderen Teams auszunutzen, um die eigenen Flaggen zu verteidigen bzw. die Flaggen der Gegner zu erobern.

Obwohl die neue Generation überwiegend zum ersten Mal an einem CTF teilgenommen hat, konnte sie mit acht Spielern einen starken Platz 65 von 423 angemeldeten Teams, wovon 140 Teams aktiv mitspielten, erreichen.

Das Team fokussierte sich bei ihrem ersten CTF auf die Verteidigung und den Aufbau der Infrastruktur zur Bereitstellung unterstützender Werkzeuge. Zu letzteren gehörte z.B. ein Tool, das den ein- und ausgehenden Datenverkehr auf Angriffe und verlorene Flaggen untersuchte, aber auch ein Dienst zum automatischen Ausführen von geschriebenen Exploits bei gegnerischen Teams. Zudem bedankt sich das Team bei dem Überraschungsgast, welcher aktiv das CTF-Team als 8. Teilnehmer unterstützt hat!

Innerhalb des FaustCTF 2025 gab es fünf verwundbare Dienste, welche wie folgt aufgeteilt waren:

  • Cake-Configurator: In Cobol geschriebener Telnet Dienst, welcher ein fehlerhaftes State Handling sowie Bruteforce-bare UIDs hatte.
  • Birthdaygram: In Python/Flask geschriebener Webserver mit fehlerhaftem Permissions-handling / known Secrets.
  • Evoting: Applikation, welche Elliptic Curve Cryptography (ECC) nutzte, bei der allerdings eine zu schwache Kurve zur Verschlüsselung verwendet wurde.
  • Birthday-Melody: Wurde von keinem der teilnehmenden Teams exploitet.
  • Nom: Wurde von keinem der teilnehmenden Teams exploitet.

Schon jetzt freuen sich die Squareroots auf das nächste Attack/Defense-CTF, das SaarCTF 2025, an dem sie mitspielen werden. Wenn du Lust hast, bei einem CTF mit uns gemeinsam teilzunehmen, melde dich gern über Matrix: #rzl-ctf:hax404.de.

 

hax404, itronik

Laborant

Was?
Teilnahme FaustCTF
Wann?
27.09.2025
Wo?
RZL

Windows adé - hallo Linux!

veröffentlicht am 31. Mai 2025

Das Linux-Café lädt zum Umstieg ein

Ab Oktober 2025 gibt es für Windows 10 keine Updates mehr. Computer, die nicht die Hardware-Anforderungen für Windows 11 erfüllen, werden dann zu einem großen Sicherheitsrisiko – obwohl sie technisch oft noch einwandfrei funktionieren. Ohne Sicherheitsupdates ist ein System jedoch anfällig für bekannte Schwachstellen und damit ein leichtes Ziel für Angriffe und Schadsoftware.

Viele Menschen fühlen sich von Windows abhängig und kaufen nun neue Computer. Aber das ist schlecht für Umwelt und den eigenen Geldbeutel! Doch es gibt Alternativen, die ausgereift, sicher und sogar kostenlos sind. Beim Linux-Café am 12. Oktober 2025, ab 14 Uhr kannst du dir diese Alternativen ansehen, ausprobieren – oder auch gleich installieren.

Bringe deinen alten Laptop mit! Vor Ort kannst du verschiedene Linux-Systeme in Ruhe testen. Wenn es dir gefällt, unterstützen wir dich bei der Installation auf deinem eigenen Gerät.

Wichtig: Die Installation löscht alle Daten. Ein Backup muss vorab zu Hause gemacht werden! Sichere wichtige Dokumente, Zugangsdaten und Passwörter unbedingt vorher. Bring außerdem etwas Zeit mit – wir helfen dir gern beim Ausprobieren, Entscheiden und Umsteigen.

Um besser planen zu können bitten wir um eine kostenlose Anmeldung unter anmeldung.raumzeitlabor.de/rzl/linux-cafe/.

Linux-Cafe

 

Cheatha

Was?
Linux Café
Wann?
12.10.2025
Wo?
RZL

Komm mit, spiel mit! Exkursion ins Technoseum

veröffentlicht am 6. Februar 2025

Liebe RaumZeitLaborierende, liebe Spiele-Fans!

Die Würfel sind gefallen – Die nächste Exkursion geht ins Technoseum!

Am 22. Februar 2025 schauen wir uns ab 11.15 Uhr zusammen die Sonderausstellung »Spiel mit! Bauen – Zocken – Knobeln« im Rahmen einer geführten Tour an.

Eine Vielzahl Ausstellungsobjekte aus der Zeit um 1900 bis heute warten auf uns.
Von Blechspielzeug vergangener Tage, über Atomenergie-Laborkästen und Modelleisenbahnen, Highlights aus der 1980er/90er-Kindheit und aktuellen Spielkonsolen kann alles bewundert werden. Natürlich darf an der ein oder anderen Station auch selbst Hand angelegt werden – Eine Runde Bobby-Car gegen Tret-Traktor auf dem Parcour? Klemmbaustein-um-die-Wette-Bau? Kein Problem, hier kann man dem eigenen Spieltrieb freien Lauf lassen.

Die geführte Tour ist auf 15 Plätze begrenzt und steht allen volljährigen Mitgliedern und Noch-nicht-Mitgliedern offen. Ein Unkostenbeitrag von 10€ pro Spielkind für’s RZL wird am Tag der Exkursion fällig. Meldet euch spätestens bis zum 7. Februar 2024 bei mir per Mail an, wenn ihr Interesse habt, mitzukommen, mitzuspielen und mehr über die Spieleindustrie als Wirtschaftsfaktor lernen wollt.

Es grüßt,

Flederbarbie

 

flederrattie

Was?
Exkursion
Wann?
22. Februar 2025, 11 Uhr
Wo?
Technoseum

19. Mario Kart Turnier

veröffentlicht am 19. November 2024

Ladys, Gentlemen, Koopa, Pilzköpfe und sonstige Entitäten!

Es ist wieder soweit, das RaumZeitLabor lädt ein zum 19. Mario Kart Turnier! Egal ob ihr alle Strecken im Schlaf beherrscht oder noch nie mit einem Kart eure Runden gedreht habt: Fahrerinnen und Fahrer aller Erfahrungsstufen sind herzlich willkommen!

Wir werden das Turnier in den Disziplinen Super Mario Kart (Super Nintendo) und Mario Kart 8 Deluxe (Nintendo Switch) im Doppel-K.O.-System austragen. Je nach Anzahl der Teilnehmenden wird es auch eine Gruppenphase geben. Die Teilnahme ist kostenfrei, ihr müsst euch aber bis spätestens 18h im RaumZeitLabor eingefunden haben.

Zur besseren Planung wäre es lieb, wenn ihr unser Anmeldeformular nutzt.

Kommt vorbei, es winken viel Spaß und vielleicht ja auch ein Eintrag in unserer Hall of Fame für euch! TDOH

 

Cheatha

Was?
Mario Kart Turnier
Wann?
7.12.2024, ab 18h
Wo?
RZL

Made with free software and Verbesserungsvorschlag?

Accounts

Spenden

Rechtliches

rzl-homepage/ENOVERSION