Woodhack 2019: Ganz großer Teamsport

Woodhack 2019 Gruppenbild

Vom 12. bis 14 September 2019 fand der diesjährige Woodhack im Landhotel Grashof bei Fulda statt. Sevenvals hauseigener Hackathon versammelte auch dieses Mal wieder Kollegen aus unterschiedlichen Teams und Standorten zu spannender Projektarbeit. Neu-Sevenvallie Ulrich schildert hier seine Erlebnisse auf dem Woodhack 2019.

Woodhack 2019: Der Prolog

Es ist kurz vor 16 Uhr an einem Dienstag im August. Etwas angespannt sitze ich am Empfang bei Sevenval und warte auf den Beginn meines zweiten Vorstellungsgesprächs.

Mein Blick fällt auf ein Poster an der Wand: Zu einem Woodhack, einem Hackathon in the Woods, wird die Belegschaft eingeladen. Klingt spannend! Im Gespräch erfahre ich mehr, das klingt nach sehr viel Spaß und Teamgeist.

Rund dreißig Kolleginnen und Kollegen aus Berlin und Köln treffen sich und arbeiten in Teams knapp 24 Stunden gemeinsam an kleinen Projekten. Nicht nur IT, auch andere Alltagsdinge können dabei „gehackt“ werden.

Mir wird klar, wenn ich bei Sevenval anfange, dann will ich auch beim Woodhack dabei sein!

Einige Tage später klingelt das Telefon. “Wir wollen dich gerne bei uns im Team haben”, verkündet mir Lucia, und noch einmal einige Tage später erfahre ich von meinem zukünftigen Teamleiter Markus, dass ich sogar beim Woodhack dabei sein können werde.

1. Akt: Auf zum Woodhack!

Mein Mitfahrer Alex erscheint pünktlich bei mir im Büro, und dann geht es auch schon los nach Mittelkalbach, einem Ort irgendwo in Nordhessen. Das Landhotel Grashof ist unser Ziel.

Auf der Fahrt lernen Alex und ich uns kennen. Wir haben beide noch keine Woodhack-Erfahrung und sind gespannt, welche Projektideen vorgestellt und welchen Teams wir uns anschließen werden.

Wir treffen die anderen Mitstreiter in unserem Arbeitsraum für die nächsten 24 Stunden. Es sieht vielversprechend aus: Woodhack-Deko an den Wänden, kistenweise Getränke, viele bereits gekühlt in einer großen Eiswanne bzw. im Kühlschrank.

Nach dem Abendessen geht es richtig los. Wer eine Projektidee hat, der stellt sie jetzt vor. Spontan beschließe ich, eine noch unausgereifte Idee vorzustellen: “Irgendetwas mit Kali Linux hacken”. Kali ist eine spezielle Linux-Version, die von Hackern und IT-Sicherheitstestern verwendet wird.

Zu meiner großen Überraschung gewinne ich zwei Mitstreiter, Davide und Michael aus Berlin, für meine Idee! Die anderen Projekte sind auch interessant, teils “nerdig”, teils “erdig”. Aber dazu an anderer Stelle mehr.

2. Akt: Auf in die Projektarbeit

Woodhack 2019 Projektarbeit

Die Teams in Größen von zwei bis sieben Personen legen los, die Zeit ist knapp. Am nächsten Abend muss etwas Präsentables fertig sein. Zwei Gruppen verschwinden für eine Weile im Wald und werden später mit gesammeltem Holz zurückkehren. Was da wohl draus wird? Im Kali-Team diskutieren wir mögliche Ziele, für die wir Kali nutzen können. Hilfreicher Input kommt dabei auch von Kollegen aus anderen Teams.

Kali auf unseren Rechnern zu installieren, kann nur der erste Schritt sein, denn Kali ist wie ein riesiger, anfangs sehr unübersichtlicher Werkzeugkasten. Wir strapazieren zunächst die Internet-Bandbreite und starten den Download.

Dann steht auch bald unser Ziel fest: Wir werden die DVWA, die Damn Vulnerable Web Application auf einen Server stellen und teils direkt und teils über wao.io, Sevenvals Plattform für die (Sicherheits-)Optimierung von Webseiten, angreifen.

Um Mitternacht wird an den meisten Tischen noch emsig getüftelt, an Feierabend scheint noch niemand zu denken. Es geht auf halb zwei Uhr nachts zu, als wir endlich unseren ersten Meilenstein erreichen und alles bereit ist: Kali läuft, DVWA ist im Netz erreichbar und eine Testinstanz von wao.io ist auch entsprechend konfiguriert.

Mein erster Test ist ein Scan unseres Woodhack-WLAN. Überraschend viele Geräte haben teilweise mehrere offene Ports. Okay, das kommt in die Abschlusspräsentation. Nun aber eine Mütze voll Schlaf, denn am nächsten Morgen beginnt schon der letzte Tag der Projektarbeit.

3. Akt: Präsentation unseres Ergebnisses

Um 8 Uhr versammeln sich die ersten verschlafenen Gesichter am Frühstückstisch. “Das letzte Tannenzäpfle war doch etwas viel”, gähnt ein leitender HR-Kollege, der ungenannt bleiben möchte.

Ich beginne mit einfachen Übungen wie HTML-Injection. In ein Suchfeld der Web-Anwendung gebe ich zusammen mit dem Suchbegriff auch Steuercodes, z.B. für Fettschrift, ein. Und auf der Ergebnisseite erscheint dann tatsächlich der Begriff in fett. Touché!

Wenn ich auf die gleiche Weise auch die Datenbankabfrage manipulieren könnte… Es dauert eine Weile, dann habe ich den Bogen raus. Über ein anderes Eingabefeld kann ich mir erst die bekannten User, später auch die dazugehörigen Passwörter, anzeigen lassen. Aber das klappt nur beim direkten Zugriff auf die Web-Anwendung. wao.io erweist sich hierbei erwartungsgemäß als Spielverderber und blockiert solche Angriffe.

Aber mein Jagdfieber ist nun endgültig geweckt! Ich suche nach einem weiteren Werkzeug, das hinreichend einfach ist, und finde den Directory Buster, der nach lesbaren Verzeichnissen auf einem Webserver sucht. Wieder dauert es etwas, bis ich das Tool im Griff habe und wieder lerne ich neue Fähigkeiten von wao.io kennen.

Bis zum frühen Abend stellen wir im Team die Präsentation fertig, auch die beiden Kollegen waren fleißig und haben Ports auf den Servern gescannt. So fleißig, dass die Administratoren von wao.io aufgeschreckt wurden.

Ab 18:30 Uhr präsentieren die Teams ihre Ergebnisse. Faszinierend, was alle Gruppen zustande gebracht haben! Unser Vortrag gerät zu lang und zu nüchtern und geht entsprechend bei der Punktevergabe leer aus, ist damit aber nicht allein.

Andere Performances – anders kann man es nicht nennen! – sind deutlich unterhaltsamer und landen weiter vorn. Nach der Siegerehrung, bei der die putzige Pflanzeninstallation „Green Wall-e“ absahnt, geht es endlich an den Grill. Super leckeres Essen und ebensolche Getränke sorgen für einen gelungenen Abschluss.

Woodhack 2019: Epilog

Der nächste Morgen. Frühstück. Etwas einsilbig, alle. Wurde wohl spät gestern… Der anschließende Abschied gerät kurz aber herzlich.

Woodhack macht Spaß, auch wenn man unvorbereitet hinkommt und kaum jemanden kennt. Ich freue mich jetzt schon darauf, die Kollegen wieder zu treffen. Denn beim nächsten Woodhack will ich wieder dabei sein, und meine Projektidee werde ich dann besser vorbereitet haben.

Meine Erfahrung mit Kali hat mir eindrucksvoll gezeigt:

A fool with a tool
is still a fool!

Woodhack 2019 Erfrischung

Zur Blog-Startseite