RaumZeitLabor

200m² Digitalkultur im Rhein-Neckar-Dreieck


Bild © CC-BY 2.0 Tim Weber

Neuigkeiten

GnoPN26

veröffentlicht am 28. Juni 2026

GnoPN26

Liebe Freunde der Knolle,

nachdem die GulaschProgrammierNacht dieses Jahr »Gulasch at the Scale of Chaos« probiert hat schauen wir ob das auch mit Gnoblauch geht! Deshalb lädt das RaumZeitLabor herzlich unter dem Motto »Gnoblauch at the Scale of Gulasch« zur #GnoPN26 am 18.07.2025 ab 18 Uhr ein. Bringt eure liebsten GnoblauchGenussPakete mit, die wir dann gemeinsam verzehren werden. Vergesst nicht die Menge an Gnoblauch auf 12 zu drehen! Zur besseren Planung freuen wir uns über eine Anmeldung unter gnoblau.ch.

Wichtiger Hinweis: Bitte bringt einen Haufen Gnoblauch, eine Extraportion Humor und vielleicht ein Minzbonbon für den Heimweg mit (Spoiler: Es wird nichts nützen).

Stinkende Grüße, Euer Gnoblauchteam

 

Alexander

Abrock School of Engineering

Was?
Knoblauch futtern
Wann?
18. Juli 2026, 18.00 Uhr
Wo?
RaumZeitLabor

Digitale Souveränität selbst in die Hand nehmen

veröffentlicht am 26. April 2026

Der DuT (Digitaler Unabhängigkeitstag) – auf Englisch DiD oder DiDay (Digital Independence Day) – wurde Anfang des Jahres von Marc-Uwe Kling, dem Autor von Känguru und QualityLand, ins Leben gerufen und ausgerufen. Es geht dabei grob darum, mehr „digitale Souveränität” zu erreichen.

Ob du noch nie von dem Begriff gehört hast, dich damit beschäftigt hast und Unterstützung bei der Umsetzung suchst, oder einfach neugierig bist, was andere mit deinen Daten so alles anfangen können: Komm am Sonntag, den 03.05. ab 14:00 Uhr ins RZL!

Da das Thema sehr breit ist und man technisch in Tiefen absteigen kann, die nicht für jeden gleich interessant sind, geht es bei diesem ersten Treffen vor allem darum herauszufinden, wo wir gemeinsam ansetzen können und welche Themen euch am meisten beschäftigen. Ideen, Fragen oder Erwartungen könnt ihr auch vorab gerne per Mail schicken: u+rzl@mmnx.de

Wir freuen uns auf euch!

 

vier

Laborant

Was?
Digital independence Day
Wann?
03.05.2026
Wo?
RZL

Einladung zum »Tag des offenen Hackspaces«

veröffentlicht am 11. März 2026

Am 28.03.2026 findet wieder der Tag des offenen Hackspaces statt.

Zusammen mit über 40 Hackspaces in Deutschland, Österreich und der Schweiz werden wir an diesem Tag einen Einblick in unsere Räumlichkeiten und unsere Arbeit geben.

Ab 13:37 Uhr ist das RZL offiziell für interessierte Erst- oder auch Wieder-Besuchende geöffnet. Lasst euch unsere Retro-Lounge, die Holzwerkstatt, unsere 3D-Drucker, die Lasercutter, Stick-, Tufting- und andere Maschinen zeigen, oder legt in unserer Elektro-Ecke direkt selbst Hand beim Löten unter Anleitung an.

Der Tag des offenen Hackspaces soll dazu dienen, Hackspaces als das zu zeigen, was sie sind: Offene Orte für den kreativen Umgang mit Technik und als Raum in dem sich Hacker:innen, Maker:innen und Bastler:innen treffen, um gemeinsam an Projekten zu arbeiten und Neues zu lernen.

Kommt vorbei und schnappt euch eine kühle Mate – Wir freuen uns auf den Austausch mit euch!

 

Laso

Laborant

Was?
Tag des offenen Hackspaces
Wann?
28.03.2026
Wo?
RZL

Neue Generation der Squareroots bei ihrem zweiten gemeinsamen Attack/Defense-CTF

veröffentlicht am 12. November 2025

Am vergangenen Wochenende haben die Squareroots nach ihrem Comeback vor einem Monat erneut an einem gemeinsamen Attack/Defense-CTF teilgenommen: dem SaarCTF 2025, organisiert vom Team Saarsec. Zielstrebig, vorbereitet und mit neuer Energie erreichten sie Platz 23 von rund 290 angemeldeten Teams — eine starke Leistung der noch jungen Generation an Flaggenjägern.

Bei einem Attack/Defense-CTF erhält jedes Team identische virtuelle Maschinen mit verschiedenen Services (z. B. Web-, Telnet- oder Mail-Servern). Die Aufgabe: Schwachstellen finden und schließen, um die eigenen Flaggen zu schützen — und gleichzeitig die Systeme der anderen Teams angreifen, um deren Flaggen zu erobern.

Im Unterschied zum ersten gemeinsamen CTF lag unser Fokus diesmal nicht nur auf Verteidigung. Mit vorbereiteten Tools wie einer Traffic‑Analyse, einem automatisierten Flag‑Submitting‑Framework und einer Exploit‑Toolchain sind wir offensiv aktiv geworden. Verteidigung war Pflicht, Angriff unser Ziel — und mit über 39.000 eroberten Flaggen haben wir dieses Ziel erreicht!

Die Challenges im Überblick

Das diesjährige SaarCTF stellte acht Dienste bereit – von Kryptographie über Binary-Exploits bis zu Web-Services:

  • BlockRope: ein in Python geschriebener Telnet‑Server mit Path‑Manipulation‑Lücke. Exploit entwickelt.
  • Calendar: eine kompilierte Anwendung mit Redis‑Datenbank. Enthielt eine Lua‑Code‑Injection und einen Heap‑Buffer‑Overflow.
  • Licenser: kompilierte Anwendung mit Remote‑Code‑Execution Lücke (RCE).
  • No‑Service: hatte keine eigene Sicherheitslücke, konnte aber über andere verwundbare Dienste kompromittiert werden.
  • RCEaaS: CMD‑Emulator in Rust („ACMD‑ähnlich“). Anfällig für Path‑Traversal und RCE. Mehrere Exploits entstanden.
  • Routerploit: PHP‑basierter Webshop mit fehlerhafter Rechteprüfung. Zwei unterschiedliche Exploits implementiert.
  • SSSG: Multi‑Webserver mit OAuth‑Flow. Enthielt eine RCE.
  • SaarLandCryptoGalore: nutzte einen Linear Congruential Generator (LCG) zur Verschlüsselung und war anfällig für einen Known‑Plaintext‑Angriff.

Fazit

Wir sind mehr als zufrieden: Die Squareroots haben gezeigt, dass sie nach dem Comeback nicht nur defensiv stabil sind, sondern auch offensiv angreifen können. Die Kombination aus guter Vorbereitung, passender Toolchain und entschlossener Durchführung spiegelt sich im Ergebnis wider — Platz 23 von rund 290 Teams spricht für sich.

Wenn du Lust hast, bei einem CTF mitzumachen oder einfach Interesse am Thema und Austausch hast, melde dich gerne bei uns!

Wie kannst du uns erreichen

Matrix: #rzl-ctf:hax404.de Oder komm einfach an einen unserer zweiwöchentlichen treffen im RaumZeitLabor vorbei. Im Kalendar kannst du die Tage & Uhrzeiten finden: Link

 

itronik

Laborant

Was?
Teilnahme SaarCTF
Wann?
08.11.2025
Wo?
RZL

Die Squareroots sind zurück

veröffentlicht am 18. Oktober 2025

Das CTF-Hacking-Team Squareroots, das sich 2006 an der Universität Mannheim gegründet hat, hat sich mithilfe des RaumZeitLabors und des Chaos Computer Clubs Mannheim neu aufgestellt und mit neuen CTF-Spielern eine weitere Generation begeisterter Hacker gewonnen. Nach einer längeren Pause ohne aktives Team haben sich alte und neue Squareroots für ihr erstes gemeinsames Attack/Defense-Capture-the-Flag, das FaustCTF 2025, angemeldet.

Bei diesem Wettbewerbsformat erhält jedes Team identische virtuelle Maschinen mit verschiedenen Diensten (z. B. Web-, Telnet- oder Mail-Servern). Ziel ist es, sicherheitsrelevante Schwachstellen zu finden, diese im eigenen System zu beheben und bei anderen Teams auszunutzen, um die eigenen Flaggen zu verteidigen bzw. die Flaggen der Gegner zu erobern.

Obwohl die neue Generation überwiegend zum ersten Mal an einem CTF teilgenommen hat, konnte sie mit acht Spielern einen starken Platz 65 von 423 angemeldeten Teams, wovon 140 Teams aktiv mitspielten, erreichen.

Das Team fokussierte sich bei ihrem ersten CTF auf die Verteidigung und den Aufbau der Infrastruktur zur Bereitstellung unterstützender Werkzeuge. Zu letzteren gehörte z.B. ein Tool, das den ein- und ausgehenden Datenverkehr auf Angriffe und verlorene Flaggen untersuchte, aber auch ein Dienst zum automatischen Ausführen von geschriebenen Exploits bei gegnerischen Teams. Zudem bedankt sich das Team bei dem Überraschungsgast, welcher aktiv das CTF-Team als 8. Teilnehmer unterstützt hat!

Innerhalb des FaustCTF 2025 gab es fünf verwundbare Dienste, welche wie folgt aufgeteilt waren:

  • Cake-Configurator: In Cobol geschriebener Telnet Dienst, welcher ein fehlerhaftes State Handling sowie Bruteforce-bare UIDs hatte.
  • Birthdaygram: In Python/Flask geschriebener Webserver mit fehlerhaftem Permissions-handling / known Secrets.
  • Evoting: Applikation, welche Elliptic Curve Cryptography (ECC) nutzte, bei der allerdings eine zu schwache Kurve zur Verschlüsselung verwendet wurde.
  • Birthday-Melody: Wurde von keinem der teilnehmenden Teams exploitet.
  • Nom: Wurde von keinem der teilnehmenden Teams exploitet.

Schon jetzt freuen sich die Squareroots auf das nächste Attack/Defense-CTF, das SaarCTF 2025, an dem sie mitspielen werden. Wenn du Lust hast, bei einem CTF mit uns gemeinsam teilzunehmen, melde dich gern über Matrix: #rzl-ctf:hax404.de.

 

hax404, itronik

Laborant

Was?
Teilnahme FaustCTF
Wann?
27.09.2025
Wo?
RZL