HackTheBank Logo
nl
Terug naar het programma

Uitgelichte track

Skyfall: diepgaand

Een snelgroeiend AI-bedrijf met een Arceus-cloudomgeving die bij elkaar wordt gehouden door aannames. Breek in, escaleer, en bepaal hoe het verhaal eindigt.

ILIAS is een snelgroeiende AI-scale-up die de beslissingen nam die elk engineeringteam onder druk neemt: snel bewegen, vaak shippen, later opruimen. In Skyfall exploit je de gevolgen. Vanaf niets meer dan een publieke registratiepagina ontdek je dat een simpel account je in de interne Arceus-cloudtenant van ILIAS plaatst. Vanaf daar vind je SSH-credentials die uit Arceus Lens debuglogs lekken, pivot je via een deployment-VM door de metadata-service te bevragen, kraak je een secrets vault open met de Arceus CLI, escaleer je naar volledig directory-eigenaarschap via een service principal, en sta je voor een laatste keuze: stil opruimen of de hele omgeving laten instorten onder oplopende kosten.

Waarom het hard aankomt

Cloudmisconfiguraties zijn geen randgevallen. Ze zijn de meest voorkomende oorzaak van grootschalige datalekken in moderne infrastructuur. Capital One verloor 100 miljoen records aan een IAM-misconfiguratie. Verkeerd geconfigureerde opslagbuckets hebben data gelekt van overheden, ziekenhuizen en Fortune 500-bedrijven. Skyfall laat je exact het pad bewandelen dat een aanvaller zou nemen, van een verkeerd geconfigureerde registratieflow tot volledige infrastructuurcompromittering, een over het hoofd geziene standaardinstelling per keer. Je voert echte CLI-commando's uit tegen een live Arceus-omgeving, geen quiz of simulatie. Elk commando is gekoppeld aan een daadwerkelijk Azure- of AWS-equivalent. Na deze track kijk je nooit meer op dezelfde manier naar een cloud console.

Wat je gaat kraken

Skyfall plaatst je in Arceus, een live cloudplatform dat de misconfiguraties weerspiegelt achter echte breaches zoals het Capital One-incident van 2019, waarbij een enkele verkeerd geconfigureerde IAM-rol meer dan 100 miljoen klantrecords in S3 blootlegde.

Je begint met een gewone registratie. Binnen enkele minuten ontdek je dat het provisioneringsproces je in de productie-Arceus-tenant van ILIAS heeft geplaatst. Vanuit de Arceus Lens log viewer vind je dat productie-monitoring DEBUG-niveau output streamt waaronder SSH-credentials in plain text. Met die credentials kom je een deployment-VM binnen. Een enkele curl naar de metadata-service op 169.212.169.212 geeft je managed identity-tokens. Met de Arceus CLI ontdek je een secrets vault, wijs je VaultReader toe aan je identity en extraheer je de opgeslagen secret. Die is gekoppeld aan de DevAI Automation Engine, het kern-AI-automatiseringsproduct van ILIAS, waarvan de service principal verhoogde rechten heeft gekregen om hun pipelines draaiende te houden. Je logt in als die principal en escaleert naar directory Owner.

Dan kies je. Clean Exit: verwijder de verboden data die ILIAS nooit had mogen opslaan, waaronder voice clones, gebruikerstracking-opnames en robocopy-modellen. Of trigger Skyfall: ontneem rollen aan development- en managementgroepen, schaal elke webapp en container naar maximum, en kijk hoe de verwachte maandelijkse kosten exploderen.

Challenges

Van registratiepagina tot infrastructuureigenaar.

Zeven challenges binnen Arceus, een fictief cloudplatform. Elk commando dat je uitvoert is een echte cloud-aanvalstechniek.

7 challengesVolledige terminal-ervaring2 eindes

ILIAS liet hun monitoringtool in DEBUG-mode staan. Arceus Lens, de log viewer van het platform, streamt SSH-credentials in plain text tussen routine logregels. Vind ze voordat ze roteren. Verbose logging-lekken zoals deze zitten achter enkele van de grootste cloud-breaches ooit.

SSH naar de deployment-VM, en curl vervolgens om managed identity-tokens te extraheren uit de instance metadata-service. Dit is dezelfde techniek die werd gebruikt in de Capital One-breach van 2019, waar een verkeerd geconfigureerde WAF SSRF naar het EC2 metadata-endpoint toestond en meer dan 100 miljoen records blootlegde.

Gebruik de Arceus CLI om een secrets vault te ontdekken, wijs VaultReader toe aan je managed identity, extraheer de opgeslagen secret en koppel deze aan de DevAI Automation Engine service principal. Log vervolgens in als die principal en escaleer naar directory Owner. Dit weerspiegelt echte IAM-privilege-escalatieketens gedocumenteerd door Rhino Security Labs en anderen.

Clean Exit: verwijder de verboden data die ILIAS nooit had mogen opslaan, van voice clones tot gebruikerstracking-opnames en robocopy-modellen. Of trigger Skyfall: ontneem rollen aan elke dev- en managementgroep, schaal alle webapps en containers naar maximum, en bereken de verwachte maandelijkse kostencatastrofe. Aan jou de keus.

Aanvalsketen

Verkeerd geconfigureerde toegang

Maak een regulier account aan op het platform en ontdek dat het registratieproces je in een cloud-tenant plaatst die je nooit had mogen bereiken.

Credential extractie

Open de Arceus Lens log viewer en ontdek dat de productie-monitoringresource DEBUG-niveau output streamt. SSH-credentials verschijnen in plain text tussen routine logregels.

Infrastructuur pivot

SSH naar de deployment-VM met de gelekte credentials. Curl vervolgens de metadata-service op 169.212.169.212 om de client-ID en access token van de managed identity te extraheren. Gebruik de Arceus CLI om te authenticeren en resources door de hele omgeving te ontdekken.

Privilege escalatie

Wijs de VaultReader-rol toe aan de managed identity van de VM, extraheer de opgeslagen secret en koppel deze aan de DevAI Automation Engine service principal. Log in als die principal en escaleer je rechten naar directory Owner.

Laatste keuze

Kies je einde. Clean Exit: verwijder de verboden data die ILIAS nooit had mogen opslaan, waaronder voice clones, gebruikerstracking-opnames en robocopy-modellen. Of trigger Skyfall: ontneem rollen aan elk team, schaal alle webapps en containers naar maximum, en kijk hoe de verwachte maandelijkse kosten exploderen.

OWASP Top 10 (2025) dekking

A01Broken Access Control
  • Ontdek dat een publieke registratieflow gebruikers toewijst aan de interne Arceus-cloudtenant van ILIAS, waardoor toegang wordt verleend tot infrastructuur die alleen voor medewerkers bedoeld is.
  • Bevraag de metadata-service van de deployment-VM om managed identity-tokens op te halen voor resources die de identiteit nooit had mogen bereiken.
  • Koppel een vault-secret aan de DevAI Automation Engine service principal en escaleer van externe gebruiker naar volledig directory Owner met een enkele roltoewijzing.
A02Security Misconfiguration
  • Extraheer SSH-credentials uit Arceus Lens debuglogs die productie-monitoring nooit was geconfigureerd om te onderdrukken.
  • Gebruik de Arceus CLI om VaultReader toe te wijzen aan de managed identity van een VM, en geef jezelf zo toegang tot secrets die service principal-credentials bevatten.
  • Schaal cloudresources naar hun maximale limieten als demonstratie van hoe onbeperkte resourcepolicies cost-based denial of service mogelijk maken.