For et par dage siden gennemførte vi en af de mest følelsesladede begivenheder, som vi har været så heldige at være vært for som en del af bloggen - et online hackerspil med serverdestruktion.
Resultaterne oversteg alle vores forventninger: Deltagerne deltog ikke kun, men organiserede sig hurtigt i et velkoordineret fællesskab på 620 mennesker på Discord, som bogstaveligt talt tog søgen med storm på to dage uden søvnpause.
Og sådan endte det:
Hvordan startede det hele, og hvad handler det om?
Spillet startede den 12. august, da vi skrev på bloggen med en video, hvor en hacker i form af en kranie tilbyder at spille et spil, ødelægge serveren, forårsage en kortslutning i rummet (nå, eller en mini-brand) og tage de resterende penge i makuleringsmaskinen.
Det var en online-quest: Vi lancerede en YouTube-udsendelse fra et rum, der var fyldt med iot-enheder, en server under sengen (som skulle ødelægges), og et akvarium blev monteret over serveren, og en vægt hang over den. For at gøre spillet mere actionfyldt besluttede vi at lave en præmiefond på 200 rubler, som vi indlæste i makuleringsmaskinen og indstillede den til at tænde hvert 000. minut. Hver time spiste makulatoren 60 rubler - jo før spillerne stoppede det, jo flere penge ville de vinde.
At bygge denne quest var en quest i sig selv - vi skulle kun spise mad og sove flere timer om dagen lige i samme rum. Men det mest fantastiske var at se spillernes tankeflugt og deres følelsesmæssige indflydelse i processen.
For at være ærlig oversteg spillernes opfindsomhed til at løse gåderne vores beskedne idé mange gange: hvert ledige minut læste vi discord-chatten og i nogle tilfælde græd vi bogstaveligt talt af grin, for at finde ud af, hvad spillerne lavede, og hvordan de jokede i processen.
7 personer arbejdede utrætteligt på projektet: en backender, en hardwarespecialist, en rigtig filmproducent, en CG-designer og to ideologiske co-producere.
Vi vil fortælle dig i de følgende indlæg præcis, hvordan questen blev implementeret fra et teknisk synspunkt, men for nu vil jeg fortælle dig løsningen: hvordan præcist det var nødvendigt at hacke dette rum på udsendelsen. Lad os samtidig huske begivenhedernes kronologi såvel som alle de skøre Illuminati-teorier fra discord-chatten, og det er det.
Hvad havde spillerne i begyndelsen af spillet?
Alle genstande i rummet blev opdelt i tre kategorier:
- Nem at bruge, ikke-gaming iot-enheder
- Spilenheder til at fuldføre questen
- Entourage
Vi placerede 8 meget nemme at administrere elementer: to lamper, en guirlande, fem FALCON bogstaver, som hver kunne ændres i farve. Alt dette kunne slås til/fra direkte fra hjemmesiden og med det samme se resultatet på udsendelsen - vi gjorde dem specifikt tilgængelige for alle spillere, uanset deres niveau af teknisk indsigt.
Alt hvad der simpelthen var inkluderet fra siden
Af de vigtige spilelementer, der var nødvendige for at fuldføre missionen, og som ikke var så let at få adgang til:
- Server med åbent låg og akvarium over
- Vægt suspenderet for at bryde et akvarium
- Megatron 3000 - en kraftig laserpointer rettet mod rebet, der holder vægten
- En kraftig blæser, der startede, da serveren var under belastning
- Flipover, hvorpå login og adgangskode til Megatron var skrevet
- En telefon, som du kan ringe til og se dit opkald live
- Makulatoren, der spiste 1000-rubelsedler i timen
Hvordan blev opgaven løst?
Jeg vil sige med det samme: kisten åbnede ganske enkelt.
Målet med spillet var at stoppe makuleringsmaskinen ved at forårsage en kortslutning i rummet. For at gøre dette var det nødvendigt at bryde akvariet ved at kaste en vægt ind i det og fylde serveren med vand. Vægten blev holdt på en snor, som Megatron sigtede mod. Ved at tage kontrol over Megatron kunne rebet klippes over. Dette blev gjort i 5 enkle trin:
Trin 1. Indlæs serveren i rummet
For eksempel at sende pakker med en kommando.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaHint var meget lastende på .
Den samme captcha, der skulle angribes
Når serveren blev indlæst, steg dens temperatur, og dette kunne overvåges på overvågningssystemet åbnet direkte foran kameraet. Så tændte blæseren, hvilket åbnede et lysgardin på flipoveren. Så åbnede login og adgangskode for at få adgang til Megatrons side, skrevet på tavlen.
Og selve Megatron-administrationssiden kunne findes ved at kontrollere alle de certifikater, der er udstedt for domænet ooosokol.ru.
På et underdomæne der var en Megatron kontrolside. Men den åbnede ikke, før Megatron blev forsynet med primær strøm.
Spillerne gennemgik alle disse stadier næsten øjeblikkeligt i kommentarerne til udsendelsen på YouTube. Så blev opgaverne mere komplicerede, og spillerne oprettede RUVDS Hack Room discord-serveren og fortsatte diskussionen der.
Trin 2: Tilfør primær strøm til Megatron
Alle smartenheder styret fra webstedet (de samme lamper, som spillere tændte og slukkede uden at stoppe) havde deres egne identifikatorer.
For at levere primær strøm til Megatron og samtidig belyse den, var det nødvendigt at finde og tænde for en skjult enhed på kontoradministrationssiden.
For at gøre dette var du nødt til at se på enhedsidentifikatorerne og bemærke, at der er 4 enheder i alt, men kun 3 er tilgængelige på webstedet.
Da den 4. enhed blev tændt, blev Megatron-siden tilgængelig, og selve laseren blev fremhævet. Men samtidig var det umuligt at skyde en laser, og det Der var en besked om, at laseren endnu ikke var tilgængelig, og et tip: der var en trafikprop på kontoret, du skal ringe til administrationsselskabet og bede om strøm.
Tip om administrationsselskabet
3. Ring til administrationsselskabet og bed om at tænde for Megatrons strøm
Ifølge ENT kunne Megatron ikke skyde, fordi trafikpropperne på kontoret var slået ud. Kun administrationsselskabet kunne tænde for strømmen igen, som skulle kontaktes og identificeres som ejeren af LLC.
Det var nemt at finde administrationsselskabsnummeret - vi indsatte det direkte i sidefoden.
Men identifikation var meget sværere.
Da hun ringede til nummeret +74991130688, tog en kvindelig operatør telefonen og bad med en kedelig stemme om virksomhedens INN og det fulde navn på ejeren. Uden dette nægtede hun at tænde for strømmen og forklarede dette med, at hun er et almindeligt udliciteret kontrolrum, de har 2000 kunder og kontorer, og uden disse oplysninger er det simpelthen umuligt at finde den, de skal bruge.
Dette viste sig at være den sværeste etape for spillerne. Det tog næsten to dage at finde det korrekte TIN og det fulde navn på ejeren, og jeg (repræsenteret af kontrolrumsoperatøren) modtog mere end 400 opkald i løbet af denne tid. Telefonen ringede hvert 2.-3. minut.
Fyrene gravede så godt de kunne. Alt blev brugt: de rensede webstedets kildekode, Googlede webstedets ejer, Sokolov, og søgte gennem sociale netværk.
De ledte efter skatteidentifikationsnumre for forskellige virksomheder
Næsten komplet søgeskema
På et tidspunkt ringede de endda med et forfalsket nummer - som om de ringede fra Sokol-firmaets kontor, der er anført i sidefoden.
Så lærte vi, hvor mange virksomheder der hedder Sokol. Næsten hver eneste af disse virksomheder modtog opkald fra spillere, men dette var ingenting i forhold til, hvad siden oplevede , som vi faktisk købte den samme Megatron af for omkring en måned siden.
Først angreb uenigheden Lasersmasters støtte.
Så var vi i stand til at finde nogens konto der! Mens støtten fra Lasermasters allerede er holdt op med at spare på udtryk.
Forsigtig, hold børn væk fra skærmen
I sidste ende besluttede Lasermasters bare at irritere dem, og deres websted styrtede ned. Ligesom det lykkedes os at lægge Sokol-pladsen ned, selvom vi hurtigt hævede den.
Under undersøgelsen fandt fyrene fra uenigheden endda en skuespiller, hvis foto vi købte fra aktier, så han ville spille rollen som hovedantagonisten, ejeren af LLC Andrei Sokolov. Det viste sig, at han hedder Yuri, og han har absolut ingen idé om, hvilken slags rod han kom ind i.
Andrey Sokolov, spilkarakter
Yuri, model
Hvis bare han vidste, hvordan han tvang 600 mennesker til ikke at sove i to dage...)
Så begyndte de at grave specifikt for mig, som arrangør af questen (som meget vel kunne være endt med succes, hvis fyrene havde gættet at hacke mine arbejdskanaler).
Jeg blev endda lidt bekymret, da de navngav mit patronym og endda mit skatteyderidentifikationsnummer. Men det var lettet, da jeg, mens den beskadigede telefon virkede, pludselig havde en storebror, som pludselig viste sig at være Habrs tekniske direktør.
Min kære bror, som også led
I mellemtiden blev gættene mere og mere utrolige
Og det kom til Illuminati-teorier.
De saftigste konspirationsteorier vedrørte SvampeBob, Harry Potter og blinken fra den kinesiske diodeguirlande, som vi placerede inde i systemetheden.
Hvor er SpongeBob og Harry Potter fra, siger du? Vi lagde deres adresser i Sokols kontaktside, og det gav anledning til mange spekulationer i discord-miljøet. Selvom vi bare ville hylde vores yndlings barndomsværker.
Samme reference på siden ""
Og som et resultat
Det viste sig, at der virkelig er SpongeBob-dokumenter i serien. De blev kaldt TIN
En af de mest komplekse teorier var, at den blinkende kinesiske guirlande indeholdt en besked i morsekode.
Flimmeren blev optaget og forsøgt at blive dechiffreret
En enklere teori er, at fyrene forsøgte at finde ud af, om ledetråden var gemt i kortene.
Undervejs blev vi sammenlignet med — en ufortjent høj vurdering, men stadig behagelig.
Spillere prøvede social engineering med al deres magt. De ringede til mig under dække af FSB, brandmænd, Sokolov selv, hans ekskone og sikkerhedsvagten, der angiveligt sidder nedenunder. De sagde, at der var startet en brand, en person sad fast i elevatoren, og den mest hjerteskærende historie var, at opkalderens hund angiveligt sad på kontoret, opslugt af ild.
Der var også forsøg på bestikkelse
Langsomt begyndte mine egne memes at dukke op i chatten.
Her er et par
Imens stod fabrikkerne stille
hjælpe
Der var færre og færre penge i makuleringsmaskinen. For at vinderen i det mindste får noget, besluttede vi at give et tip. Samtidig skal du følge reglerne for spildesign og hæve spændingen lige før finalen.
Adskille Vi lagde en video på bloggen. I begyndelsen blev et stykke fra Fight Club indsat som en reference til Tyler Durden, der tænkte på at indsætte den 25. ramme i film, mens han arbejdede i biograferne.
Vi besluttede at anvende den samme mekanik og indsatte et tip på den 25. ramme om, hvordan man korrekt TIN og ejerens fulde navn.
Derefter fandt fyrene ud af det meget hurtigt
Trin 4. Skyd en laser i ikke-kamptilstand
Da strømmen blev leveret af administrationsselskabet og efter at stikkene var tændt, tændte Megatron og kunne fyre i testtilstand. Et token til et testskud er allerede blevet indsat i inputformularen.
Hvert 25. sekund blev der genereret et nyt token, dette kunne bruges til at tænde laseren i 10 sekunder ved 10/255 power
Derefter kølede laseren ned i 1 minut og var i løbet af dette minut utilgængelig og accepterede ikke nye anmodninger om et skud.
Denne kraft var fuldstændig utilstrækkelig til at brænde gennem rebet, men enhver spiller kunne skyde fra Megatron og se laserstrålen i aktion.
Samfundets reaktion var mere end kraftig
Men alle faldt hurtigt til ro og indså, at dette ikke var slutningen på spillet.
Så begyndte samfundet at finde ud af, hvordan man starter kamptilstand
brainstorm
Der er forfalskninger på uenighed
Vi vidste ikke, at der var skrevet noget på bordbenet i udsendelsen
Fællesskabet er kommet til trin 4. Forstå, hvordan tokens genereres: find kernen, og generer et token, der tænder laseren i kamptilstand
Megatrons kamptilstand er 100 % laserkraft ved 3 watt. Dette er nok i 2 minutter til at brænde gennem rebet, der holdt vægten, knække akvariet og oversvømme serveren med vand.
Vi har efterladt et par tip : nemlig tokengenereringskoden, hvorfra man kunne forstå, at test- og kamptokenserne er genereret ud fra den samme tællerindikator. I tilfælde af en kampbrik bruges der udover tællerværdien også et salt, som er næsten helt tilbage i denne kernes ændringshistorie, med undtagelse af de to sidste tegn.
Som alle hurtigt gættede, var det 42
I kommentarerne til essensen var der en korrespondance mellem Andrey Sokolov og udvikleren ("kloge udvikler", som fyrene fra discord kaldte ham).
I korrespondancen sendte Andrey et af kamptegnene, og udvikleren svarede, at dette token blev initialiseret med en tællerværdi på 42.
Ved at kende disse data var det muligt at sortere gennem de sidste 2 symboler i saltet og faktisk finde ud af, at tallene fra Lost, omregnet til det hexadecimale system, blev brugt til det.
Derefter skulle spillerne fange tællerværdien (ved at analysere testtokenet) og generere et kamptegn ved hjælp af den næste tællerværdi og saltet valgt i det foregående trin.
Tælleren steg simpelthen for hvert testskud og hvert 25. sekund. Vi skrev ikke om dette nogen steder, det skulle være en lille spiloverraskelse. Fyrene fandt ud af det meget hurtigt og lancerede megatronen i kamptilstand.
Trin 5. Laserbrænd rebet
Hvordan det var
Alt er enkelt her. At sende et kamptoken ville forvandle laseren til kamptilstand, og rummet ville ændre sig og gå i "katastrofetilstand", som vi kaldte det i det generelle scenarie:
- Alt lys i rummet slukkede
- Knapper til iot-enheder på webstedet blev utilgængelige
- Blinkende lys og sirenelyd
- Den røde vægt blev oplyst
- En nedtælling begyndte på tv-skærmen, indtil laseren blev lanceret i kamptilstand.
Vi gav nedtællingen halvanden time, så alle der spillede havde tid til at tænde for udsendelsen og se finalen. Og med god grund: Mens jeg ventede med tilbageholdt ånde på lyden af stød og knusende glas fra det næste rum, begyndte hele holdet, der byggede missionen, uden at sige et ord, at gå til basen for at se slutningen med deres egne øjne. De løb bare ind i lokalet og begyndte at kramme.
I mellemtiden på splid
Efter at nedtællingen var slut, gik laseren i aktion og på to minutter brændte gennem rebet - vægten fløj direkte ind i akvariet. Før nedslaget skreg en skør capybara på skærmen og løftede sine små poter i panik.
Da hele holdet var samlet der, sendte vi en lille besked til alle, der kæmpede for finalen i to dage på splid og gik for at åbne champagnen:
Hvordan beregnede vi tidspunktet for lanceringen af reklamevideoer og vægtens flugt?
Efter et dusin tests med at brænde et reb med en laser, indså vi, at dette er et meget upålideligt design - det halvbrændte reb bliver tyndere, under vægten af vægten det strækker sig, skifter placering, og laseren kan ikke længere skære igennem det fuldstændigt.
Derfor tog vi en anden vej: vi duplikerede udbrændingen ved at vikle rebet med nichromtråd. En strøm blev ført gennem tråden, den blev rødglødende og brændte gennem rebet på cirka 2 sekunder - dette gav os en nøjagtig forståelse af, hvornår vi skulle tænde for den skrigende capybara, stoppe starttimeren og starte reklamen:
Hvad virkede ikke for os?
Til sidst skulle der komme tyk røg ud af systemenheden, som i en brand - vi forberedte røgbomber, tændte dem på samme måde, men af en eller anden grund virkede de ikke (sandsynligvis på grund af vand).
Hvem er vinderen?
Kom ud som vinderen Arkady Alekseev fra Skt. Petersborg - han var den første til at generere et test-token og vandt de resterende penge i makuleringsmaskinen i et beløb på 134 rubler.
Et kort interview med Arkady.
Fortæl os om dig selv, hvad laver du på arbejdet?
Jeg er sikkerhedsspecialist af uddannelse, uddannet fra BIT hos ITMO. Jeg arbejder som outsourcet full stack webudvikler. I skolen konkurrerede jeg i konkurrencer, blandt andet i programmering og matematik.
Hvordan fandt du ud af spillet?
Jeg gik til Habr bare for at læse, så artiklen og blev interesseret.
Hvor mange timer spillede du, da du kom med?
Jeg var med om aftenen den dag, hvor artiklen blev offentliggjort (dvs. en dag før slutningen). Jeg brugte aftenen og en god del af dagen efter.
Hvad kunne du lide, og hvad kunne du ikke lide?
Generelt kunne jeg lide alt (selvfølgelig vandt jeg)), men jeg var lidt nervøs for opkaldene. Nå, ligesom, at ringe og tjekke hver version var på en eller anden måde ikke særlig godt, i det mindste var det akavet - jeg forstod, at der stadig var flere dusin af dem, der ringede, halvdelen af dem lavede sjov og forsøgte at engagere sig i social engineering.
Hvordan fandt du ud af, hvordan du finder kampsymbolet til Megatron?
Da jeg kom ind, havde de allerede spammet serveren, stukket pærer, fundet adgangskoden til laser-adminpanelet, alle mulige underdomæner og sider.
Det var også nemt at finde en profil på Github og en essens med kommentarer. Derfra er processen med at generere et token og en hemmelighed for det indlysende. I sådanne quests er der ingen grund til at opfinde en masse, IMHO, da du kan drukne i en masse muligheder for udvikling af begivenheder; og derfor skal du følge med i, hvor skaberen af questen skubber dig.
Under hensyntagen til de resterende underdomæner og teststedet på tilde, var det klart, at efter at have tændt laseren, ville det være nødvendigt at vælge et token. I overensstemmelse hermed skitserede jeg samme aften en omtrentlig anmodning om at tænde laseren (baseret på 4 tilgængelige formularer: 1 på arbejdsstedet og 3 på testen/den gamle) og forsøgte at brute med arbejdstokens startende fra 42 (nå, for fjolsen - pludselig er alt der allerede aktiveret, og siden med afsendelse af token vil simpelthen blive åbnet efter TIN og det fulde navn).
Jeg er ikke sikker på, at anmodningen var korrekt, da der ikke var tid til at tjekke (det var trods alt kun muligt at kontrollere, at laseren var tændt), men jeg forberedte mig på forhånd til søgningen efter tokenet.
Der var også åbenlys logik med websockets og enhedshåndtering i app.js-filen. Der var en fed antydning af en a9-enhed, når den sendte strøm: sandt, som stikket styrtede ned. Jeg forsøgte at sende alt til det - du ved aldrig, der kunne være en ekstra enhed til at løse TIN, men uden held.
Så søgte jeg i resten af ID-filerne ved siden af de ti, men der var en ukendt enhed overalt. Jeg prøvede også at google alle mulige ting, klatre videre [e-mail beskyttet], sendte alt i formularen på prislistesiden, gravede lidt med lasermastere, men alt uden held. Dagen efter sad jeg i chatten og googlede alle mulige ting, så kom stego-emnet op og jeg rådførte mig med stegosolve-personen for billeder og gifs (men jeg forstod mentalt, at der 99% af tiden ikke var noget der, da det ville være for meget + en modsigelse med hovedmissionslinjen).
Men til sidst sad jeg også og gravede igennem alle billeder og gifs i et par timer. Jeg ringede et par gange mere med forskellige TIN-muligheder, men det virkede ikke. Så besluttede jeg at opgive det, men de postede et hint der - og det blev klart, at skatteyderens identifikationsnummer (TIN) ville blive fundet i den nærmeste fremtid, hvilket er, hvad der skete. Så sendte enten jeg eller en anden (det er ikke indlysende) strøm: tro mod a9-enheden, og laseren begyndte at virke, selvom der måske ikke var nogen forbindelse, og den begyndte bare at virke efter TIN. Generelt gik jeg ind i laserens adminpanel og var ret overrasket, da serveren selv sendte tokenet (og jeg forberedte mig allerede på at brute). Det blev tydeligt, at tokenet var en test, da udsendelsen + sund fornuft + jeg tjekkede det.
Koden indeholdt logikken i at sende et fungerende token et sted som en notifikation, men tilsyneladende var det enten den forkerte kode, eller også var det nødvendigt til andre dele af systemet. Jeg udarbejdede et script for at hente det aktuelle arbejdstoken fra den aktuelle test og begyndte at sidde på f5 og prøvede at sende dem - der var problemer med dette, da alle konstant prikkede på send-knappen, og ændrede derved tokenet, hvis det var muligt. Så gik siden ned, tælleren blev nulstillet, men det er ikke meningen - efter et stykke tid sendte jeg et fungerende token. I teorien var tælleren 58 og токен был 449a776938f7ce4cf19f8603045dca0f på aktiveringstidspunktet, hvis jeg ikke tager fejl. Det er alt.
Så blev jeg lidt udbrændt af kommentarer som "ja, det er alt sammen trivielt, men jeg var bare heldig." Nå, hvis du går til siden, tænk et øjeblik, skriv et manuskript om et par minutter, tjek det - så ja, det er trivielt. Men jeg gjorde det på 10-20 sekunder, og så kunne jeg bare ikke sende tokenet i flere minutter.
Selvfølgelig kunne du prøve at skrive logik for at samle det op og sende det automatisk, men det ville tage længere tid og være en stor risiko, plus at skyen sandsynligvis ville begynde at bande. Det, jeg var rigtig heldig med, var den allersidste fase - et par algoritmer for hastighed + reaktionshastighed, dette er bare mit. Hvis der havde været en opgave direkte fra pentest, var jeg højst sandsynligt ikke blevet den første.
Men det er ikke slut endnu
Jeg kan ikke vente med at fortælle dig om det fantastiske team, der byggede dette flugtrum, og alle de tekniske løsninger, de fandt på. Men dette indlæg har allerede vist sig at være for stort – så der kommer separate artikler om dette, så følg med og abonner på vores blog på Habré.
Kilde: www.habr.com