Před pár dny jsme dokončili jednu z nejvíce emotivně nabitých událostí, kterou jsme měli to štěstí, že jsme byli součástí blogu – online hackerskou hru s destrukcí serveru.
Výsledky předčily všechna naše očekávání: účastníci se nejen zúčastnili, ale rychle se zorganizovali do sehrané komunity 620 lidí na Discordu, která vzala hledání doslova útokem za dva dny bez přestávky na spánek.
A takhle to skončilo:
Jak to všechno začalo a o co jde?
Hra začala 12. srpna, kdy jsme ji zveřejnili na blogu s videem, ve kterém hacker v podobě lebky nabízí, že si zahraje hru, zničí server, způsobí zkrat v místnosti (no, nebo minipožár) a vezme zbývající peníze do skartovače.
Byl to online úkol: spustili jsme vysílání na YouTube z místnosti, která byla plná iot zařízení, serveru pod postelí (který musel být zničen) a nad serverem bylo upevněno akvárium a nad ním viselo závaží. Aby byla hra akčnější, rozhodli jsme se udělat výherní fond ve výši 200 000 rublů, který jsme naložili do skartovače a nastavili jej tak, aby se zapínal každých 60 minut. Každou hodinu skartovač snědl 1000 XNUMX rublů – čím dříve to hráči zastaví, tím více peněz vyhrají.
Sestavení tohoto questu bylo quest samo o sobě - museli jsme jíst jen jídlo a spát několik hodin denně přímo ve stejné místnosti. Ale nejúžasnější bylo sledovat myšlenkový let hráčů a jejich emocionální dopad v procesu.
Abych byl upřímný, vynalézavost hráčů při řešení hádanek mnohonásobně předčila naši skromnou představu: každou volnou minutu jsme četli discord chat a v některých případech jsme doslova plakali smíchy, když jsme zjišťovali, co hráči dělají a jak vtipkují. proces.
Na projektu neúnavně pracovalo 7 lidí: backender, hardwarový specialista, skutečný filmový producent, CG designér a dva ideologičtí koproducenti.
Jak přesně byl quest z technického hlediska realizován, vám prozradíme v následujících příspěvcích, ale zatím vám prozradím řešení: jak přesně bylo nutné tuto místnost hacknout ve vysílání. Zároveň si připomeňme chronologii událostí, stejně jako všechny bláznivé iluminátské teorie z discord chatu a je to.
Co měli hráči na začátku hry?
Všechny předměty v místnosti byly rozděleny do tří kategorií:
- Snadno použitelná, neherní iot zařízení
- Herní zařízení pro dokončení questu
- Entourage
Umístili jsme 8 velmi snadno ovladatelných prvků: dvě lampy, jednu girlandu, pět písmen FALCON, z nichž každé bylo možné barevně změnit. To vše bylo možné zapnout/vypnout přímo z webu a okamžitě vidět výsledek ve vysílání – konkrétně jsme je zpřístupnili všem hráčům bez ohledu na úroveň jejich technické zdatnosti.
Vše, co bylo jednoduše zahrnuto z webu
Z důležitých herních prvků, které byly potřeba k dokončení úkolu a ke kterým nebylo tak snadné získat přístup:
- Server s otevřeným víkem a akváriem nad ním
- Závaží zavěšené na rozbití akvária
- Megatron 3000 - výkonné laserové ukazovátko zaměřené na lano, které drží váhu
- Výkonný ventilátor, který se spustil, když byl server pod zatížením
- Flipchart, na kterém bylo napsáno přihlašovací jméno a heslo pro Megatron
- Telefon, na který můžete zavolat a vidět svůj hovor živě
- Skartovač, který snědl 1000 rublových bankovek za hodinu
Jak přesně byl quest vyřešen?
Hned řeknu: rakev se otevřela docela jednoduše.
Cílem hry bylo zastavit skartovačku způsobením zkratu v místnosti. K tomu bylo nutné akvárium rozbít vhozením závaží a naplnit server vodou. Váha byla držena na šňůře, na kterou mířil Megatron. Převzetím kontroly nad Megatronem mohlo být lano přeříznuto. To bylo provedeno v 5 jednoduchých krocích:
Krok 1. Vložte server do místnosti
Například odesílání paketů s příkazem.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaNápověda byla velmi nabitá na .
Stejná captcha, na kterou bylo potřeba zaútočit
Po načtení serveru se jeho teplota zvýšila a to bylo možné sledovat na monitorovacím systému otevřeném přímo před kamerou. Pak se zapnul ventilátor, který otevřel světelnou závoru na flipchartu. Poté se otevřelo přihlašovací jméno a heslo pro přístup na stránku Megatron, napsané na tabuli.
A samotnou stránku správy Megatronu lze najít kontrolou všech certifikátů vydaných pro doménu ooosokol.ru.
Na subdoméně byla tam kontrolní stránka Megatronu. Ale neotevřelo se, dokud nebyl Megatron napájen primární energií.
Všechny tyto fáze si hráči prošli prakticky okamžitě v komentářích vysílání na YouTube. Poté se úkoly zkomplikovaly a hráči vytvořili discord server RUVDS Hack Room a pokračovali v diskuzi tam.
Krok 2: Aplikujte primární energii na Megatron
Všechna chytrá zařízení ovládaná z místa (stejné lampy, které hráči zapínali a vypínali bez zastavení) měla své vlastní identifikátory.
K napájení primárního napájení Megatronu a zároveň jeho osvětlení bylo nutné najít a zapnout skryté zařízení na stránce správy kanceláře.
Chcete-li to provést, museli jste se podívat na identifikátory zařízení a všimnout si, že jsou celkem 4 zařízení, ale na webu jsou k dispozici pouze 3.
Když bylo zapnuto 4. zařízení, zpřístupnila se stránka Megatron a zvýraznil se samotný laser. Ale zároveň bylo nemožné střílet laserem a to Objevila se zpráva, že laser ještě není k dispozici, a nápověda: v kanceláři byla dopravní zácpa, musíte zavolat správcovské společnosti a požádat o napájení.
Tip na správcovskou společnost
3. Zavolejte správcovské společnosti a požádejte o zapnutí napájení Megatronu
Podle ORL Megatron nemohl střílet, protože dopravní zácpy v kanceláři byly vyřazeny. Napájení mohla znovu zapnout pouze správcovská společnost, která musela být kontaktována a označena jako vlastník LLC.
Bylo snadné najít číslo správcovské společnosti - vložili jsme ho přímo do zápatí.
Identifikace však byla mnohem obtížnější.
Při volání na číslo +74991130688 zvedla telefon operátorka a znuděným hlasem se zeptala na INN společnosti a celé jméno majitele. Bez toho odmítla zapnout proud a vysvětlila to tím, že je obyčejný outsourcovaný dispečink, mají 2000 klientů a kanceláří a bez těchto informací prostě nelze najít tu, kterou potřebují.
To se ukázalo být pro hráče nejtěžší etapou. Najít správné DIČ a celé jméno majitele trvalo téměř dva dny a já (v zastoupení operátora dispečinku) jsem během této doby přijal více než 400 hovorů. Telefon zvonil každé 2-3 minuty.
Chlapi kopali, jak mohli. Využilo se vše: vykuchali zdrojový kód webu, vyhledali majitele webu Sokolov a prohledali sociální sítě.
Hledali daňová identifikační čísla různých společností
Téměř kompletní vyhledávací schéma
V jednu chvíli dokonce volali s podvrženým číslem - jako by volali z kanceláře firmy Sokol uvedené v patičce.
Pak jsme se dozvěděli, kolik podniků se jmenuje Sokol. Téměř každá z těchto společností obdržela hovory od hráčů, ale to nebylo nic ve srovnání s tím, co web zažil , od kterého jsme vlastně ten stejný Megatron asi před měsícem koupili.
Nejprve neshoda zaútočila na podporu Lasersmasters.
Pak se nám tam podařilo najít něčí účet! Zatímco podpora Lasermasters již přestala šetřit na výrazech.
Pozor, držte děti mimo dosah obrazovky
Nakonec se Lasermasters rozhodli je prostě naštvat a jejich web spadl. Stejně jako se nám podařilo zbořit areál Sokola, i když jsme jej rychle zvedli.
Během vyšetřování našli kluci z neshody dokonce herce, jehož fotografii jsme koupili z akcií, aby hrál roli hlavního antagonisty, majitele LLC Andrei Sokolova. Ukázalo se, že se jmenuje Yuri a absolutně netuší, do jaké šlamastiky se dostal.
Andrey Sokolov, herní postava
Yuri, model
Kdyby jen věděl, jak donutil 600 lidí dva dny nespát...)
Pak začali kopat speciálně pro mě jako organizátora questu (který by klidně mohl skončit úspěchem, kdyby kluci uhodli, že hacknou moje pracovní kanály).
Dokonce jsem se trochu znepokojil, když pojmenovali moje patronymie a dokonce i identifikační číslo daňového poplatníka. Ale ulevilo se mi, když jsem, když poškozený telefon fungoval, měl najednou staršího bratra, ze kterého se najednou vyklubal Habrův technický ředitel.
Můj drahý bratr, který také trpěl
Mezitím byly dohady stále neuvěřitelnější
A došlo na teorie Iluminátů.
Nejšťavnatější konspirační teorie se týkaly SpongeBoba, Harryho Pottera a blikání čínské diodové girlandy, kterou jsme umístili do systémové jednotky.
Odkud jsou SpongeBob a Harry Potter, říkáte? Jejich adresy jsme umístili na kontaktní stránku Sokola a to vedlo k mnoha spekulacím v diskordové komunitě. I když jsme jen chtěli vzdát hold našim oblíbeným dětským dílům.
Stejný odkaz na stránce ""
A jako výsledek
Ukázalo se, že v seriálu skutečně jsou dokumenty SpongeBob. Říkalo se jim TIN
Jednou z nejsložitějších teorií bylo, že blikající čínská girlanda obsahovala zprávu v morseovce.
Blikání bylo zaznamenáno a pokusilo se jej rozluštit
Jednodušší teorie je, že se kluci snažili přijít na to, zda je stopa skrytá v kartách.
Cestou nás srovnávali s — nezaslouženě vysoké hodnocení, ale přesto příjemné.
Hráči zkoušeli sociální inženýrství ze všech sil. Zavolali mě pod rouškou FSB, hasiče, samotného Sokolova, jeho bývalou manželku a ochranku, která prý sedí dole. Říkali, že začal hořet, někdo uvízl ve výtahu a nejvíce srdcervoucí příběh byl, že pes volajícího údajně seděl v kanceláři, zachvácený ohněm.
Došlo i na pokusy o uplácení
V chatu se pomalu začaly objevovat mé vlastní memy.
Tady je pár
Mezitím továrny nečinně stály
Popisek
V skartovačce bylo stále méně peněz. Aby výherce získal alespoň něco, rozhodli jsme se udělat nápovědu. Zároveň, dodržujte pravidla herního designu, zvedněte napětí těsně před finále.
Samostatný Video jsme zveřejnili na blogu. Na začátek byl vložen kousek z Klubu rváčů jako odkaz na Tylera Durdena, který při své práci v kinech přemýšlel o vložení 25. snímku do filmů.
Rozhodli jsme se použít stejnou mechaniku a do 25. snímku jsme vložili nápovědu, jak na to správné DIČ a celé jméno vlastníka.
Poté na to kluci velmi rychle přišli
Krok 4. Střílejte laserem v nebojovém režimu
Když bylo napájení dodáváno správcovskou společností a poté, co byly zástrčky zapnuty, Megatron se zapnul a mohl střílet v testovacím režimu. Do vstupního formuláře již byl vložen token pro testovací výstřel.
Každých 25 sekund byl vygenerován nový token, který lze použít k zapnutí laseru na 10 sekund při výkonu 10/255
Poté laser na 1 minutu vychladl a v tu chvíli byl nedostupný a nepřijímal nové požadavky na výstřel.
Tato síla byla zcela nedostatečná k propálení lana, ale každý hráč mohl střílet z Megatronu a vidět laserový paprsek v akci.
Reakce komunity byla více než rázná
Všichni se ale rychle uklidnili a uvědomili si, že tím hra nekončí.
Poté komunita začala vymýšlet, jak spustit bojový režim
brainstorming
Na neshodách jsou padělky
Nevěděli jsme, že je ve vysílání něco napsáno na noze stolu
Komunita se dostala ke kroku 4. Pochopte, jak se generují tokeny: najděte podstatu a vygenerujte token, který zapne laser v bojovém režimu
Bojový režim Megatronu je 100% výkon laseru při 3 wattech. To stačí na 2 minuty k propálení lana, které drželo závaží, rozbití akvária a zaplavení serveru vodou.
Nechali jsme několik rad : jmenovitě kód generování tokenu, z něhož by se dalo pochopit, že testovací a bojové tokeny jsou generovány na základě stejného indikátoru počítadla. V případě bojového tokenu se kromě hodnoty počítadla používá také sůl, která je téměř úplně ponechána v historii změn této podstaty, s výjimkou posledních dvou postav.
Jak všichni rychle uhodli, bylo to 42
V komentářích k podstatě byla korespondence mezi Andrey Sokolovem a vývojářem („moudrým vývojářem“, jak mu říkali kluci z discordu).
V korespondenci Andrey poslal jeden z bojových žetonů a vývojář odpověděl, že tento žeton byl inicializován s hodnotou počítadla 42.
Při znalosti těchto údajů bylo možné protřídit poslední 2 symboly soli a vlastně zjistit, že na to byla použita čísla ze Ztracených převedená do šestnáctkové soustavy.
Poté museli hráči chytit hodnotu počítadla (analýzou testovacího žetonu) a vygenerovat bojový žeton pomocí další hodnoty žetonu a soli vybrané v předchozím kroku.
Počítadlo se jednoduše zvýšilo s každým zkušebním výstřelem a každých 25 sekund. Nikde jsme o tom nepsali, mělo to být malé herní překvapení. Kluci na to přišli velmi rychle a spustili megatron v bojovém režimu.
Krok 5. Laserem vypalte lano
Jak to bylo
Všechno je zde jednoduché. Odeslání bojového žetonu přepne laser do bojového režimu a místnost se změní a přejde do „katastrofického režimu“, jak jsme to nazvali v obecném scénáři:
- Všechna světla v místnosti zhasla
- Tlačítka pro zařízení iot na webu přestala být dostupná
- Blikající světla a zvuk sirény
- Rozsvítilo se červené závaží
- Na televizní obrazovce začalo odpočítávání, než byl laser spuštěn do bojového režimu.
Dali jsme odpočítávání hodinu a půl, aby si každý, kdo hrál, stihl zapnout přenos a viděl finále. A to z dobrého důvodu: zatímco jsem se zatajeným dechem čekal na zvuk nárazu a rozbití skla z vedlejší místnosti, celý tým, který quest postavil, beze slova začal chodit na základnu, aby viděl konec se svými vlastní oči. Prostě vběhli do pokoje a začali se objímat.
Mezitím na rozpor
Po skončení odpočítávání se laser rozjel a za dvě minuty propálil lano - závaží letělo přímo do akvária. Před dopadem na obrazovku zaječela šílená kapybara a v panice zvedla své malé tlapky.
Protože se tam sešel celý tým, natočili jsme malý vzkaz všem, kteří dva dny na sváču bojovali o finále a šli otevřít šampaňské:
Jak jsme vypočítali načasování spuštění reklamních videí a let váhy?
Po tuctu testů pálení lana laserem jsme zjistili, že se jedná o velmi nespolehlivé provedení - napůl spálené lano se ztenčuje, pod tíhou váhy se natahuje, mění polohu a laser již nemůže proříznout to úplně.
Proto jsme zvolili jinou cestu: vyhoření jsme duplikovali omotáním lana nichromovou nití. Nitem prošel proud, rozžhavil se a propálil lano asi za 2 sekundy – to nám dalo přesnou představu, kdy zapnout křičící kapybaru, zastavit časovač spuštění a spustit reklamu:
Co se nám nepovedlo?
Ze systémové jednotky měl nakonec vycházet hustý kouř jako při požáru - připravili jsme dýmovnice, zapálili je stejným způsobem, ale z nějakého důvodu nefungovaly (asi kvůli vodě).
kdo je vítěz?
Vyšel jako vítěz Arkadij Aleksejev z Petrohradu - jako první vygeneroval testovací token a vyhrál zbývající peníze v skartovačce ve výši 134 000 rublů.
Krátký rozhovor s Arkadym.
Řekněte nám o sobě, co děláte v práci?
Jsem vystudovaný bezpečnostní specialista, vystudoval jsem BIT na ITMO. Pracuji jako outsourcovaný full stack webový vývojář. Ve škole jsem soutěžil v soutěžích, mimo jiné v programování a matematice.
Jak jste se o hře dozvěděli?
Šel jsem do Habra jen číst, viděl jsem článek a zaujal mě.
Kolik hodin jste hráli, když jste se připojili?
Připojil jsem se večer v den, kdy článek vyšel (tedy den před koncem). Strávil jsem večer a velkou část dalšího dne.
Co se vám líbilo a co ne?
Obecně se mi líbilo všechno (samozřejmě jsem vyhrál), ale z hovorů jsem byl trochu nervózní. No jako, volat a kontrolovat každou verzi nějak nebylo moc dobré, alespoň to bylo trapné - pochopil jsem, že jich stále volá několik desítek, polovina z nich vtipkovala a snažila se zapojit do sociálního inženýrství.
Jak jste přišli na to, jak najít žeton bitvy pro Megatrona?
Když jsem vešel, už spamovali server, šťourali žárovky, našli heslo pro laserový admin panel, nejrůznější subdomény a stránky.
Také bylo snadné najít profil na Githubu a podstatu s komentáři. Odtud je proces generování tokenu a jeho tajemství zřejmý. V takových questech není třeba IMHO mnoho vymýšlet, protože se můžete utopit ve spoustě možností pro vývoj událostí; a podle toho se musíte řídit tím, kam vás tvůrce questu tlačí.
S přihlédnutím ke zbývajícím subdoménám a testovacímu místu na tilde bylo jasné, že po napájení laseru bude nutné vybrat token. V souladu s tím jsem téhož večera načrtl přibližný požadavek na zapnutí laseru (na základě 4 dostupných formulářů: 1 na pracovním místě a 3 na testovacím/starém) a pokusil jsem se brutálně zasáhnout pracovními žetony od 42 (dobře, pro hlupáka - najednou už je tam vše povoleno a za DIČ a celým jménem se prostě otevře stránka s odesláním tokenu).
Nejsem si jistý, zda byl požadavek správný, protože nebyl čas na kontrolu (ostatně bylo možné zkontrolovat pouze zapnutí laseru), ale předem jsem se připravil na hledání tokenu.
V souboru app.js byla také zřejmá logika s websockets a správou zařízení. Při odesílání napájení se objevil tučný náznak zařízení a9: pravda, se kterou zásuvka havarovala. Zkoušel jsem na to vše poslat - člověk nikdy neví, mohlo by tam být přídavné zařízení na řešení DIČ, ale neúspěšně.
Pak jsem prohledal zbytek ID souborů vedle těch deseti, ale všude bylo neznámé zařízení. Taky jsem zkoušel všelijak googlit, lézt dál [chráněno e-mailem], vše odeslal ve formuláři na stránce ceníku, provedl pár kopání s lasermastery, ale vše bez úspěchu. Druhý den jsem seděl na chatu a googloval všelijak, pak přišlo téma stego a konzultoval jsem s osobou stegosolve obrázky a gify (ale duševně jsem pochopil, že tam v 99% případů nic nebylo, protože to by bylo moc + rozpor s hlavní questovou linií) .
Ale nakonec jsem taky seděl a pár hodin se prohraboval všemi obrázky a gify. Volal jsem ještě několikrát s různými možnostmi TIN, ale nefungovalo to. Pak jsem se rozhodl to vzdát, ale dali tam nápovědu - a bylo jasné, že daňové identifikační číslo (TIN) bude v blízké budoucnosti nalezeno, což se také stalo. Pak jsem buď já, nebo někdo jiný (není to samozřejmé) poslal energii: věrně zařízení a9 a laser začal fungovat, i když možná nebylo žádné spojení a začal fungovat až po TIN. Obecně jsem šel do administračního panelu laseru a byl jsem docela překvapen, protože server sám poslal token (a už jsem se připravoval na brute). Bylo zřejmé, že token byl testovací, protože vysílání + zdravý rozum + jsem to zkontroloval.
Kód obsahoval logiku odeslání pracovního tokenu někam jako upozornění, ale zjevně to byl buď špatný kód, nebo to bylo potřeba pro jiné části systému. Vytvořil jsem skript pro získání aktuálního pracovního tokenu z aktuálního testovacího a začal jsem sedět na f5 a pokoušel se je poslat - s tím byly problémy, protože všichni neustále šťouchali do tlačítka pro odeslání, čímž jsem token pokud možno měnil. Pak se stránka zhroutila, počítadlo bylo resetováno, ale o to nejde - po chvíli jsem poslal funkční token. Teoreticky bylo počítadlo 58 a токен был 449a776938f7ce4cf19f8603045dca0f v době aktivace, pokud se nepletu. To je vše.
Pak jsem se trochu spálil z komentářů typu „ano, je to všechno triviální, ale měl jsem prostě štěstí“. No, když půjdete na stránku, chvíli přemýšlíte, za pár minut napíšete skript, zkontrolujete to - pak ano, je to triviální. Ale udělal jsem to za 10-20 sekund a pak jsem nemohl několik minut odeslat token.
Samozřejmě byste mohli zkusit napsat logiku, která by to vyzvedla a odeslala automaticky, ale to by trvalo déle a bylo to velké riziko, navíc by cloud pravděpodobně začal nadávat. Na co jsem měl opravdu štěstí, byla úplně poslední fáze - pár algoritmů pro rychlost + rychlost reakce, tohle je jen moje. Kdyby tam byl úkol přímo z pentestu, s největší pravděpodobností bych se nestal prvním.
Ale ještě není konec
Nemůžu se dočkat, až vám povím o úžasném týmu, který postavil tuto únikovou místnost, a všech technických řešeních, se kterými přišli. Ale tento příspěvek se již ukázal být příliš velký - takže o tom budou samostatné články, takže zůstaňte naladěni a přihlaste se k odběru našeho blogu na Habré.
Zdroj: www.habr.com