Willkommen beim Hacking-Adventskalender 2025.
Ab dem 01.12.2025 wirst du hier bis Weihnachten jeden Tag eine neue einzigartige Challenge finden.

Bei jeder Challenge gibt es etwas Neues über das Internet, den Aufbau von Webseiten, Computer und vieles mehr zu erfahren.
Bei allen der über 24 Aufgaben muss zudem ein Lösungswort gefunden werden. Dieses Lösungswort ist immer im Format 'flag{Lösung}' abzugeben.

Die Aufgaben sind an Schüler und für an Informatik Interessierte gerichtet und sollten ab der 8. Klasse bearbeitet werden können.
Für besonders Interessierte gibt es an manchen Tagen schwere optionale Bonusaufgaben.

Eine geeignete Google-Suche kann oft weiterhelfen :).
Auch KI kann oft weiterhelfen. Versuche jedoch die Schritte nachzuvollziehen, damit du bei den Aufgaben etwas lernen kannst oder lass dir von der KI nur Tipps geben.
Besondere Informatikkenntnisse sind nicht erforderlich.

Beispielaufgabe:
Hier ist die Flag für Dich. Das Lösungswort ist jedoch noch nicht sichtbar...
flag{Hintergrundfarbe}

(Für diese Aufgabe erhältst du keine Punkte.)

Beispielaufgabe aus dem letzten Jahr:

In dieser Reihe von Nullen und Einsen ist die Flag gespeichert:

(Für diese Aufgabe erhältst du keine Punkte.)

HTML definiert den Inhalt und dessen Layout in jeder Webseite.
Schau dir doch mal den HTML-Quelltext dieser Seite an:

• Rechtsklick -> "Untersuchen (Q)" oder
• Rechtsklick -> "Seitenquelltext anzeigen"

Dort ist die Flag zu finden.

Falls du auf "Untersuchen (Q)" geklickt hast, kannst du hier sogar den HTML-Code der Seite mit einem Doppelklick bearbeiten.


Für Interessierte:
HTML lernen (en): https://www.htmlforpeople.com/

Solch eine Zeichenkette, wie sie unten zu sehen ist, kommt im Internet häufiger vor - sei es zur Speicherung von Spielständen in Online-Games oder zur Enkodierung von bereits verschlüsselten Daten. Dennoch handelt es sich dabei nicht direkt um Verschlüsselung. Kannst du den Text dekodieren und die Flag offenbaren?

Oh nein! Die einzelnen Pixel des Pixel-Arts sind falsch angeordnet.
Ändere den style des div-Containers, in welchem sich die Pixel befinden, mithilfe des "Inspector"-Tabs der Dev-Tools:
Nachdem du das div auf der linken Seite im Inspektor angeklickt hast, kannst du nun auf der rechten Seite den style des Elements bearbeiten.
Du kannst hier die einzelnen CSS-Attribute ändern oder neue hinzufügen. Diese definieren die visuelle Darstellung von Elementen auf der Website.

Zur richtigen Anzeige des Pixel-Arts muss der Container eine Flexbox sein.
Danach muss noch der Umbruch der Flexbox-Elemente aktiviert werden.


Für Interessierte:
Mehr über Flexboxen lernen (en): https://flexboxfroggy.com/

Dies ist eine schwierige optionale Bonus-Challenge.
Für Bonus-Challenges erhältst du keine Punkte.

Die Flag war im HTML-Code für diese Challenge versteckt.

Um die Flag zu bekommen, müssen beide Checkboxen angekreuzt sein.

Ich bin kein Roboter.
Ich bin autorisiert die Flag zu erhalten!
Los

Vielleicht kann dir die Challenge von Tag 1 (HTML 1) weiterhelfen.

Hinweis (zum Anzeigen anklicken): Wieso ist die zweite Box nicht anklickbar? (Was unterscheidet sie im HTML von der ersten?)

Dies ist eine schwierige optionale Bonus-Challenge.
Für Bonus-Challenges erhältst du keine Punkte.

Die Flag wird ein Buchstabe pro Zeile von oben nach unten gelesen:

Mit der angehängten Datei scheint etwas nicht zu stimmen. Schaffst du es, die Datei und deren Inhalt zu retten?

Uns sind leider die Challenges ausgegangen.
Die Challenge für den heutigen Tag ist deshalb dieselbe wie vorletztes Jahr.
Viel Spaß! ;)

Evil-Santa steht in Konkurrenz zum Weihnachtsmann und versucht, ebenfalls Geschenke herzustellen.
Wenn du ihm beim Herstellen von 1.000.000 Geschenken hilfst kannst du die Flag von ihm bekommen.

Für diese Challenge könnte der Debugger in den Dev-Tools nützlich sein (F12 -> "Debugger"-Tab).


Hinweis (zum Anzeigen anklicken): Nicht nur das HTML sondern auch JavaScript-Inhalte einer Seite kann man nach dem Laden der Seite bearbeiten. Nutze dafür die Konsole des "Console"-Tabs in den Dev-Tools.

Für Interessierte:
JS Hacking-Spiel (en): https://alexnisnevich.github.io/untrusted/

Die Flag wurde dir bereits geschickt. Doch sie wird im Moment nirgends angezeigt.

Um die Flag zu finden öffne zunächst die Dev-Tools (Developer-Tools) des Browsers mit (bei Firefox und Chromium):

• Rechtsklick -> "Untersuchen (Q)" oder
• F12

Navigiere nun zum Reiter "Network" und klicke ihn an. Dort kannst du den Datenverkehr zwischen Client (Browser) und Server sehen.
Drücke Strg. + Shift + R um die Seite komplett neu zu laden und öffne diese Challenge neu.
Wenn du einen Request (eine Spalte) anklickst, öffnet sich auf der rechten Seite eine Übersicht, bei der Anfrage wie auch Antwort des Requests eingesehen werden können.
Eventuell versteckt sich die Flag in irgendeinem Request...

Ein Geheimagent hat uns das angehängte Bild zukommen lassen. Inmitten der unscheinbaren Winterlandschaft soll angeblich eine geheime Botschaft enthalten sein. Schaffst du es, diese wiederherzustellen?

Hinweis (zum Anzeigen anklicken): Die geheime Botschaft ist nicht in Metadaten o.ä. versteckt.

Lass uns das UI (= User Interface / Benutzeroberfläche) etwas aufhübschen!
Die Logik für einen Spaß-Modus ist eigentlich schon implementiert, doch es gibt noch keine Einstellung im Einstellungsmenü rechts oben um diesen zu aktivieren.

Den Netzwerk-Tab in den Dev-Tools hast du ja bereits kennengelernt.
Kopiere den Request zum Speichern der Einstellungen indem du im Netzwerk-Tab der Dev-Tools auf dem richtigen Request Rechtsklick -> "Use as Fetch in Console" ausführst.
Für mehr Übersichtlichkeit kannst du nun den "Console"-Tab in den Dev-Tools verwenden.

Ändere nun den Fetch-Request so ab, dass der Spaß-Modus aktiviert wird.
Über den Parameter fun_enabled wird bestimmt, ob der Spaß-Modus angewendet wird.
(Der Spaß-Modus beeinflusst, wenn er aktiviert ist, nur die Hauptseite (index.php).) Sobald du den Spaß-Modus aktiviert hast, wirst du die Flag nicht übersehen können.

Für Interessierte:
Versuche nun den <form>-Block im HTML so zu ergänzen, dass der Spaß-Modus als Einstellung aktiviert werden kann.

Zu einfach?
Versuche, mithilfe einer Browser-Erweiterung zum Erstellen von Userscripten, wie z.B. Tampermonkey, eine dauerhafte Möglichkeit, den Spaß-Modus ein- und auszuschalten, zu erstellen.
Alternativ kannst du auch ein Script schreiben, welches auf der Einstellungs-Seite per Hand über die Konsole eingefügt werden muss.

Die Flag findest du unter diesem Link. Irgendetwas scheint damit aber nicht zu stimmen.

Dies ist eine schwierige optionale Bonus-Challenge.
Für Bonus-Challenges erhältst du keine Punkte.

Um die Flag zu bekommen muss man vorher eine lange Rechenaufgabe lösen, die man vom Server abfragen kann. Das Ergebnis muss innerhalb von 10 Sekunden an den Server zurückgeschickt werden.

Die Aufgabe ist es einen String mit dem SHA-256 Algorithmus zu hashen.
Folgendes ist dabei zu beachten:

• Der Hash muss mit "1337" beginnen.
• Falls nicht muss eine Nonce-Zahl geändert werden und ein neuer Hash erstellt werden.
• Die Nonce kann frei gewählt werden.

Die Eingabe für den Hash-Algorithmus könnte so aussehen: wobei die Nonce hier 123 ist. Der String wird dir (ohne Nonce) vom Server geschickt.

Die Rückgabe an den Server besteht aus:

• "previous_hash": dem vorherigen Hash,
• "nonce": der Nonce,
• "valid_hash": dem neuen Hash, welcher mit dieser Nonce erstellt wurde

Diese Werte müssen (als Werte der Parameter "previous_hash", "nonce" und "valid_hash") als POST-Request zurückgeschickt werden.

Alle Anfragen müssen als Form-POST-Requests an challenge_sites/challenge_requests_2.php geschickt werden.
Um eine Aufgabe zu bekommen muss ein Request mit dem Parameter getNewString=true geschickt werden.

Hinweis (zum Anzeigen anklicken): Die JavaScript-Funktion fetch ist asynchron.

Oh nein! Unserem Entwickler ist beim Erstellen der heutigen Challenge die Datei mit der Flag verloren gegangen. Kannst du anhand der Terminalausgabe die Datei wiederherstellen?

...
bash-5.3$ cd challenge_13/
bash-5.3$ ls
flag.txt.gz
bash-5.3$ xxd flag.txt.gz
00000000: 1f8b 0808 3598 3469 0003 666c 6167 2e74  ....5.4i..flag.t
00000010: 7874 004b cb49 4caf 76ce cf4b 2f4a 2c29  xt.K.IL.v..K/J,)
00000020: 5654 88cc 2f55 284a 2d2e c92f 4a4d 5128  VT../U(J-../JMQ(
00000030: c948 55c8 c92f 2e51 48ce cf2b 49cd 2b29  .HU../.QH..+I.+)
00000040: d6ab e502 0084 3e3a 5430 0000 00         ......>:T0...
bash-5.3$ vim ~/advents-hacking-secret-challenges.txt
bash-5.3$ cd~/Trash
bash: cd~/Trash: No such file or directory
bash-5.3$ rm -rf *
bash-5.3$ ls
bash-5.3$

Anbei kannst du einen Ausschnitt aus dem Code einer Webanwendung finden. Nur hat sich hier leider eine Sicherheitslücke eingeschlichen. Kannst du herausfinden, um welche Vulnerability es sich handelt?
Die Flag ist im üblichen Format anzugeben, wobei in den geschweiften Klammern die geläufige Abkürzung für diese Art von Vulnerabilities stehen soll.

...
$profiles = get_profiles();
?>
<div id="profiles">
    <?php foreach ($profiles as $profile) { ?>
        <div class="profile-card">
            <div class="profile-name"><?php echo $profile->name; ?></div>
            <div class="profile-description">
                <?php echo $profile->description; ?>
            </div>
        </div>
    <?php } ?>
</div>
...

Dies ist eine schwierige optionale Bonus-Challenge.
Für Bonus-Challenges erhältst du keine Punkte.

Die Flag ist nur einen Klick entfernt. Vielleicht.

Nicht schon wieder! Unserem Entwickler ist erneut beim Erstellen der heutigen Challenge die Datei mit der Flag verloren gegangen. Zum Glück war sie allerdings in ein Repository committet. Schaffst du es, anhand des angehängten Repos die Datei mit der Flag wiederherstellen?

Dies ist eine schwierige optionale Bonus-Challenge.
Für Bonus-Challenges erhältst du keine Punkte.

Beim sogenannten Reverse Engineering ist es das Ziel, von einem bereits kompilierten Programm auf den Quellcode zurückzuschließen, um somit die Logik des Programms aufzudecken. Die angehängte Linux-Binary fragt nach einem Passwort. Kannst du dieses herausfinden?

Im heutigen Türchen kannst du ein weiteres einfaches Verschlüsselungsverfahren kennenlernen: Bei der sogenannten monoalphabetischen Substitution wird jeder Buchstabe durch einen anderen ersetzt. Der nachfolgende Text wurde mit einer solchen Substitution verschlüsselt. Kannst du mithilfe der Buchstabentabelle die Zuordnung wiederherstellen und die geheime Botschaft entschlüsseln?

Nach der Online-Bestellung bei einer bekannten Fastfood-Kette erhältst du eine E-Mail mit folgendem Link zu einem PDF mit der Bestellbestätigung:

Das RSA-Kryptosystem ist ein Beispiel für ein Verfahren, welches asymmetrische Kryptographie nutzt. Während bei symmetrischer Kryptographie der selbe Schlüssel zum Ver- und Entschlüsseln von Nachrichten verwendet wird, gibt es bei asymmetrischen Verfahren zwei Schlüssel: Zum Verschlüsseln einer Nachricht wird der sogenannte public key des Gesprächspartners verwendet. Den Ciphertext kann dann nur dieser mit dem passenden private key entschlüsseln, um die ursprüngliche Nachricht wiederherzustellen. Im Vergleich zu symmetrischen Verfahren, bei denen der einzelne Schlüssel über einen getrennten, sicheren Kanal übertragen werden muss, hat dies den Vorteil, dass der zum Verschlüsseln verwendete Key öffentlich geteilt werden kann.

Im folgenden gehen wir von der "Textbook"-RSA-Version aus.
Eine geheime Zahl wurde mit dem public key e = 30187 und dem Modulus n = 30551 verschlüsselt. Der daraus hervorgehende Ciphertext ist c = 13517. Kannst du ohne den zugehörigen private key d die Verschlüsselung knacken und die Geheimzahl wiederherstellen? Die Flag ist dann flag{Geheimzahl}.

Was ist im angehängten Bild zu sehen?

(Bild von Thorsten Butz unter Lizenz CC-BY-SA.)

Mit sogenannten Logikgattern können verschiedene Schaltkreise implementiert werden, die auf binären Zahlen Operationen wie z.B. eine Addition durchführen. Moderne Prozessoren basieren auf solchen Logic Gates. Unten kannst du ein Beispiel für eine Schaltung erkennen, die einige verschiedene Logikgatter enthält. Dein Ziel ist es heute, ganz unten die richtige Eingabe für die Schaltung zu finden, sodass das Signal oben bei der Ausgabe der Schaltung aktiviert wird.
Viel Spaß!

Die Flag war einmal eindeutig im angehängten Bild sichtbar. Danach wurde sie aber aus dem Bild gelöscht. Kannst du die Bildbearbeitung rückgänig machen und die Flag wiederherstellen?

Programmiersprachen wie C oder Java nutzen verschiedene Abstraktionen, um es dem Programmierer einfacher zu machen: Es können Konstrukte wie bedingte Anweisungen oder Schleifen verwendet werden. Auf der Ebene des Prozessors werden diese Konstrukte mit kleineren Bausteinen umgesetzt, den sogenannten Befehlen. Der gesamte Befehlssatz eines modernen Prozessors umfasst hunderte dieser Befehle, die z.B. ein Compiler nutzen kann, um ein C-Programm in die Sprache des Prozessors zu bringen.

Im Anhang findest du ein Programm, welches in einer solchen Maschinensprache, auch Assembly genannt, geschrieben ist. Der Befehlssatz des Prozessors enthält nur sehr wenige Befehle: Ein Akkumulator kann für Rechenoperationen verwendet werden und ein Speicher steht auch bereit. Kannst du herausfinden, was die einzelnen Befehle konkret bedeuten und das Programm "ausführen"? Zum Ausführen kannst du entweder Stift und Papier bzw. ein Textdokument nutzen oder selbst ein kleines Programm schreiben. Die Flag steht nach der vollständigen Ausführung des Programms in ihrer ASCII-Repräsentation direkt am Anfang des Speichers.

Hinweis 1 (zum Anzeigen anklicken): Steht am Ende eines Befehls ein I, so rechnet der Befehl mit der danach angegebenen Zahl. So addiert z.B. ADDI 1337 die Zahl 1337 auf den Akkumulator. Fehlt das I, dann bezieht sich der Befehl auf einen Wert im Speicher, außer bei Sprungbefehlen. Also lädt z.B. LOAD 10 die Zahl aus Speicherzelle 10.
Hinweis 2 (zum Anzeigen anklicken): Bei Sprungbefehlen entspricht die angegebene Zahl genau der Zeilennummer in der angehängten Datei. Leere Zeilen werden auch mitgezählt.
Hinweis 3 (zum Anzeigen anklicken): JZ führt den Sprung nur durch, wenn der Wert des Akkumulators gleich 0 ist.

Die Programmiersprache Java ist für ihre Kompatibilität mit verschiedensten Geräten bekannt. Die einmal zu Bytecode kompilierten Quelldateien können auf allen Plattformen, die Java unterstützen, ausgeführt werden.

In den angehängten Java-Quellcode scheinen sich aber einige Fehler eingeschlichen zu haben. Kannst du diese aufspüren? In der Flag musst du die Nummern der Codezeilen, die einen Fehler enthalten, jeweils durch ein Semikolon getrennt angeben. Sollte z.B. in der ersten, zweiten und dritten Zeile der Quellcodedatei ein Fehler enthalten sein, wäre die Flag flag{1;2;3}.

Dies ist eine schwierige optionale Bonus-Challenge.
Für Bonus-Challenges erhältst du keine Punkte.

Das angehängte Java-Programm fragt beim Öffnen nach einem Passwort. Nach einem kurzen Blick in den dekompilierten Code ist allerdings nicht direkt eine Überprüfung des eingegebenen Passworts erkennbar. Kannst du dem Geheimnis auf den Grund gehen?

In der heutigen Challenge kannst du mit der Shell eines Unix-basierten Systems experimentieren. Die Flag ist auf einer zweiten Festplatte gespeichert. Nur brauchst du für das Mounten der Partition das Superuser-Passwort. Kannst du es aufspüren und die Flag auslesen?
(Es werden nur einige Kommandos unterstützt, da diese Shell keine echte Shell, sondern lediglich eine Simulation ist.)

Hier eine Nachricht vom Weihnachtsmann im Auftrag des Advents-Hacking-Teams: