Vor ein paar Tagen haben wir eine der emotionalsten Veranstaltungen abgeschlossen, die wir im Rahmen des Blogs veranstalten durften – ein Online-Hackerspiel mit Serverzerstörung.
Die Ergebnisse übertrafen alle unsere Erwartungen: Die Teilnehmer machten nicht nur mit, sondern organisierten sich schnell zu einer eingespielten Community von 620 Personen auf Discord, die die Suche in zwei Tagen ohne Schlafpause buchstäblich im Sturm eroberte.
Und so endete es:
Wie hat alles angefangen und worum geht es?
Das Spiel begann am 12. August, als wir es im Blog veröffentlichten mit einem Video, in dem ein Hacker in Form eines Totenkopfes anbietet, ein Spiel zu spielen, den Server zu zerstören, einen Kurzschluss im Raum zu verursachen (naja, oder ein Minifeuer) und das restliche Geld in den Aktenvernichter zu werfen.
Es war eine Online-Suche: Wir starteten eine YouTube-Übertragung aus einem Raum voller IoT-Geräte, einem Unterbettserver (der zerstört werden musste) und einem Aquarium, das über dem Server befestigt war und über dem ein Gewicht hing. Um das Spiel noch actionreicher zu machen, haben wir beschlossen, einen Preisfonds von 200 Rubel einzurichten, den wir in den Aktenvernichter geladen haben und ihn so eingestellt haben, dass er sich alle 000 Minuten einschaltet. Jede Stunde verschlang der Aktenvernichter 60 Rubel – je früher die Spieler damit aufhörten, desto mehr Geld gewannen sie.
Der Aufbau dieser Quest war eine Quest für sich – wir mussten nur essen und mehrere Stunden am Tag im selben Raum schlafen. Aber das Erstaunlichste war, die Gedankengänge der Spieler und ihre emotionale Wirkung dabei zu beobachten.
Ehrlich gesagt übertraf der Einfallsreichtum der Spieler beim Lösen der Rätsel unsere bescheidene Vorstellung um ein Vielfaches: In jeder freien Minute lasen wir den Discord-Chat und weinten teilweise regelrecht vor Lachen, um herauszufinden, was die Spieler machten und wie sie Witze machten der Prozess.
7 Personen haben unermüdlich an dem Projekt gearbeitet: ein Backender, ein Hardware-Spezialist, ein echter Filmproduzent, ein CG-Designer und zwei ideologische Co-Produzenten.
Wir werden euch in den folgenden Beiträgen genau erzählen, wie die Quest aus technischer Sicht umgesetzt wurde, aber vorerst werde ich euch die Lösung verraten: wie genau es notwendig war, diesen Raum in der Sendung zu hacken. Erinnern wir uns gleichzeitig an die Chronologie der Ereignisse sowie an all die verrückten Illuminati-Theorien aus dem Discord-Chat und das war's.
Was hatten die Spieler zu Beginn des Spiels?
Alle Objekte im Raum wurden in drei Kategorien eingeteilt:
- Einfach zu bedienende Nicht-Gaming-IoT-Geräte
- Spielgeräte zum Abschließen der Quest
- Gefolge
Wir haben 8 sehr einfach zu handhabende Elemente platziert: zwei Lampen, eine Girlande, fünf FALCON-Buchstaben, die jeweils farblich verändert werden konnten. All dies konnte direkt von der Website aus ein- und ausgeschaltet werden und das Ergebnis war sofort in der Übertragung zu sehen – wir haben sie speziell allen Spielern zur Verfügung gestellt, unabhängig von ihrem technischen Verständnis.
Alles, was einfach von der Seite aufgenommen wurde
Von den wichtigen Spielelementen, die zum Abschließen der Quest benötigt wurden und zu denen der Zugang nicht so einfach zu bekommen war:
- Server mit offenem Deckel und Aquarium darüber
- Aufgehängtes Gewicht, um ein Aquarium zu zerstören
- Megatron 3000 – ein leistungsstarker Laserpointer, der auf das Seil gerichtet ist, das das Gewicht hält
- Ein leistungsstarker Lüfter, der anspringt, wenn der Server unter Last steht
- Flipchart, auf dem der Login und das Passwort für Megatron notiert wurden
- Ein Telefon, das Sie anrufen und Ihren Anruf live verfolgen können
- Der Aktenvernichter, der 1000-Rubel-Scheine pro Stunde aß
Wie genau wurde die Quest gelöst?
Ich sage gleich: Der Sarg ließ sich ganz einfach öffnen.
Ziel des Spiels war es, den Aktenvernichter zu stoppen, indem man einen Kurzschluss im Raum verursachte. Dazu war es notwendig, das Aquarium durch Werfen eines Gewichts aufzubrechen und den Server mit Wasser zu füllen. Das Gewicht wurde an einer Schnur gehalten, auf die Megatron zielte. Durch die Übernahme der Kontrolle über Megatron konnte das Seil durchtrennt werden. Dies geschah in 5 einfachen Schritten:
Schritt 1. Laden Sie den Server in den Raum
Zum Beispiel das Senden von Paketen mit einem Befehl.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaDer Hinweis war sehr ladend auf .
Das gleiche Captcha, das angegriffen werden musste
Bei Belastung des Servers stieg dessen Temperatur an, was über das direkt vor der Kamera geöffnete Überwachungssystem überwacht werden konnte. Dann schaltete sich der Ventilator ein, der einen Lichtvorhang auf dem Flipchart öffnete. Dann öffneten sich der an die Tafel geschriebene Benutzername und das Passwort für den Zugriff auf Megatrons Seite.
Und die Megatron-Verwaltungsseite selbst konnte gefunden werden, indem alle für die Domain ooosokol.ru ausgestellten Zertifikate überprüft wurden.
Auf einer Subdomain Es gab eine Megatron-Kontrollseite. Aber es öffnete sich erst, als Megatron mit Primärstrom versorgt wurde.
Alle diese Phasen durchliefen die Spieler nahezu unmittelbar in den Kommentaren der Sendung auf YouTube. Dann wurden die Aufgaben komplizierter und die Spieler erstellten den Discord-Server RUVDS Hack Room und setzten die Diskussion dort fort.
Schritt 2: Primärenergie an Megatron anlegen
Alle von der Website aus gesteuerten intelligenten Geräte (dieselben Lampen, die die Spieler ohne Unterbrechung ein- und ausschalteten) hatten ihre eigenen Kennungen.
Um Megatron mit Primärstrom zu versorgen und es gleichzeitig zu beleuchten, war es notwendig, ein verstecktes Gerät auf der Büroverwaltungsseite zu finden und einzuschalten.
Dazu musste man sich die Gerätekennungen ansehen und feststellen, dass es insgesamt 4 Geräte gibt, aber nur 3 auf der Website verfügbar sind.
Als das vierte Gerät eingeschaltet wurde, wurde die Megatron-Seite verfügbar und der Laser selbst wurde hervorgehoben. Aber gleichzeitig war es unmöglich, einen Laser abzufeuern, und zwar Es gab eine Meldung, dass der Laser noch nicht verfügbar sei, und einen Hinweis: Im Büro herrschte ein Stau. Sie müssen die Verwaltungsgesellschaft anrufen und nach Strom fragen.
Hinweis zur Verwaltungsgesellschaft
3. Rufen Sie die Verwaltungsgesellschaft an und bitten Sie darum, den Strom von Megatron einzuschalten
Laut HNO konnte Megatron nicht schießen, weil die Staus im Büro beseitigt waren. Nur die Verwaltungsgesellschaft konnte den Strom wieder einschalten, sie musste kontaktiert und als Eigentümer der LLC identifiziert werden.
Die Nummer der Verwaltungsgesellschaft war leicht zu finden – wir haben sie direkt in die Fußzeile eingefügt.
Aber die Identifizierung war viel schwieriger.
Als ich die Nummer +74991130688 anrief, nahm eine Telefonistin den Hörer ab und fragte mit gelangweilter Stimme nach der INN des Unternehmens und dem vollständigen Namen des Eigentümers. Ohne diese Informationen weigerte sie sich, den Strom einzuschalten, und erklärte dies damit, dass sie ein gewöhnlicher ausgelagerter Kontrollraum sei, 2000 Kunden und Büros habe und es ohne diese Informationen einfach unmöglich sei, den zu finden, den sie brauchten.
Dies erwies sich für die Spieler als die schwierigste Etappe. Es dauerte fast zwei Tage, die korrekte TIN und den vollständigen Namen des Eigentümers zu finden, und ich (vertreten durch den Kontrollraumbetreiber) erhielt in dieser Zeit mehr als 400 Anrufe. Das Telefon klingelte alle 2-3 Minuten.
Die Jungs gruben, so gut sie konnten. Alles wurde ausgenutzt: Sie haben den Quellcode der Website entkernt, den Websitebesitzer Sokolov gegoogelt und soziale Netzwerke durchsucht.
Sie suchten nach Steueridentifikationsnummern verschiedener Unternehmen
Fast vollständiges Suchschema
Irgendwann riefen sie sogar mit einer gefälschten Nummer an – als würden sie aus dem Büro der in der Fußzeile aufgeführten Firma Sokol anrufen.
Dann erfuhren wir, wie viele Unternehmen Sokol heißen. Fast jedes dieser Unternehmen erhielt Anrufe von Spielern, aber das war nichts im Vergleich zu dem, was die Website erlebte , von dem wir vor etwa einem Monat tatsächlich denselben Megatron gekauft haben.
Zunächst griff der Discord den Lasersmasters-Support an.
Dann konnten wir dort den Account von jemandem finden! Während der Support von Lasermasters bereits aufgehört hat, an Äußerungen zu sparen.
Achtung: Halten Sie Kinder vom Bildschirm fern
Am Ende beschloss Lasermasters, sie nur zu ärgern, und ihre Website stürzte ab. Gerade als wir es geschafft haben, die Sokol-Site niederzulegen, obwohl wir sie schnell aufgebaut haben.
Während der Ermittlungen fanden die Jungs von Discord sogar einen Schauspieler, dessen Foto wir aus Lagerbeständen kauften, damit er die Rolle des Hauptgegners spielen würde, des Besitzers der LLC Andrei Sokolov. Es stellte sich heraus, dass er Yuri heißt und überhaupt keine Ahnung hat, in was für einen Schlamassel er geraten ist.
Andrey Sokolov, Spielfigur
Yuri, Modell
Wenn er nur wüsste, wie er 600 Menschen dazu zwang, zwei Tage lang nicht zu schlafen ...)
Dann fingen sie an, speziell für mich als Organisator der Quest zu graben (was durchaus erfolgreich hätte enden können, wenn die Jungs erraten hätten, meine Arbeitskanäle zu hacken).
Ich machte mir sogar ein wenig Sorgen, als sie mein Vatersname und sogar meine Steueridentifikationsnummer nannten. Aber ich war erleichtert, als ich, während das beschädigte Telefon funktionierte, plötzlich einen älteren Bruder hatte, der sich plötzlich als technischer Direktor von Habr herausstellte.
Mein lieber Bruder, der auch gelitten hat
Mittlerweile wurden die Vermutungen immer unglaubwürdiger
Und es kam zu den Illuminati-Theorien.
Die saftigsten Verschwörungstheorien betrafen SpongeBob, Harry Potter und das Blinken der chinesischen Diodengirlande, die wir in der Systemeinheit platziert hatten.
Woher kommen SpongeBob und Harry Potter, sagen Sie? Wir haben ihre Adressen auf der Kontaktseite von Sokol angegeben, was zu vielen Spekulationen in der Discord-Community geführt hat. Obwohl wir nur unseren Lieblingswerken aus der Kindheit Tribut zollen wollten.
Der gleiche Hinweis auf der Seite „"
Und als Ergebnis
Es stellte sich heraus, dass es in der Serie tatsächlich SpongeBob-Dokumente gibt. Sie wurden als TIN bezeichnet
Eine der komplexesten Theorien war, dass die blinkende chinesische Girlande eine Nachricht im Morsecode enthielt.
Das Flackern wurde aufgezeichnet und versucht zu entschlüsseln
Eine einfachere Theorie besagt, dass die Jungs versuchten herauszufinden, ob der Hinweis in den Karten versteckt war.
Unterwegs wurden wir mit verglichen — eine unverdient hohe Bewertung, aber dennoch angenehm.
Die Spieler versuchten es mit aller Kraft mit Social Engineering. Sie riefen mich unter dem Deckmantel des FSB, der Feuerwehr, von Sokolov selbst, seiner Ex-Frau und dem Wachmann an, der angeblich unten sitzt. Sie sagten, dass ein Feuer ausgebrochen sei, jemand im Aufzug feststeckte und die herzzerreißendste Geschichte war, dass der Hund des Anrufers angeblich im Büro saß und vom Feuer verschlungen wurde.
Es kam auch zu Bestechungsversuchen
Langsam tauchten meine eigenen Memes im Chat auf.
Hier sind ein paar
Unterdessen standen die Fabriken still
Tooltip
Es war immer weniger Geld im Aktenvernichter. Damit der Gewinner zumindest etwas bekommt, haben wir uns entschieden, einen Hinweis zu machen. Erhöhen Sie gleichzeitig die Spannung kurz vor dem Finale, indem Sie die Regeln des Spieldesigns befolgen.
Trennen Wir haben ein Video auf dem Blog gepostet. Zu Beginn wurde ein Stück aus „Fight Club“ eingefügt als Anspielung auf Tyler Durden, der während seiner Arbeit im Kino darüber nachdachte, das 25. Bild in Filme einzufügen.
Wir haben uns entschieden, die gleiche Mechanik anzuwenden und haben im 25. Frame einen Hinweis dazu eingefügt korrekte TIN und vollständiger Name des Eigentümers.
Danach haben die Jungs es sehr schnell herausgefunden
Schritt 4. Schießen Sie im Nicht-Kampfmodus mit einem Laser
Als die Verwaltungsgesellschaft Strom lieferte und die Stecker eingesteckt wurden, schaltete sich Megatron ein und konnte im Testmodus feuern. Im Eingabeformular ist bereits ein Token für einen Testschuss eingefügt.
Alle 25 Sekunden wurde ein neuer Token generiert, mit dem der Laser für 10 Sekunden bei 10/255 Leistung eingeschaltet werden konnte
Dann kühlte der Laser 1 Minute lang ab und war während dieser Minute nicht verfügbar und nahm keine neuen Anfragen für einen Schuss an.
Diese Kraft reichte völlig nicht aus, um das Seil zu durchbrennen, aber jeder Spieler konnte von Megatron aus schießen und den Laserstrahl in Aktion sehen.
Die Reaktion der Community war mehr als heftig
Aber alle beruhigten sich schnell und erkannten, dass das Spiel noch nicht zu Ende war.
Dann begann die Community herauszufinden, wie man den Kampfmodus startet
Brainstorming
Es gibt Fakes auf Discord
Wir wussten nicht, dass in der Sendung etwas auf dem Tischbein geschrieben stand
Die Community ist bei Schritt 4 angelangt. Verstehen Sie, wie Token generiert werden: Finden Sie das Wesentliche und generieren Sie einen Token, der den Laser im Kampfmodus einschaltet
Der Kampfmodus von Megatron besteht aus 100 % Laserleistung bei 3 Watt. Dies reicht für 2 Minuten, um das Seil, das das Gewicht hielt, zu durchbrennen, das Aquarium zu zerstören und den Server mit Wasser zu überfluten.
Wir haben ein paar Hinweise hinterlassen : Nämlich der Token-Generierungscode, aus dem man verstehen könnte, dass die Test- und Kampf-Tokens auf der Grundlage desselben Zählerindikators generiert werden. Im Falle eines Kampftokens wird neben dem Gegenwert auch ein Salz verwendet, das mit Ausnahme der letzten beiden Zeichen fast vollständig in der Änderungsgeschichte dieses Wesens verbleibt.
Wie jeder schnell vermutete, waren es 42
In den Kommentaren des Kerns gab es eine Korrespondenz zwischen Andrey Sokolov und dem Entwickler („weiser Entwickler“, wie ihn die Jungs von Discord nannten).
In der Korrespondenz schickte Andrey einen der Kampftoken und der Entwickler antwortete, dass dieser Token mit einem Zählerwert von 42 initialisiert wurde.
Mit Kenntnis dieser Daten war es möglich, die letzten beiden Symbole des Salzes zu sortieren und tatsächlich herauszufinden, dass dafür die in das Hexadezimalsystem umgewandelten Zahlen aus Lost verwendet wurden.
Dann mussten die Spieler den Zählerwert ermitteln (durch Analyse des Testmarkers) und unter Verwendung des nächsten Zählerwerts und des im vorherigen Schritt ausgewählten Salzes einen Kampfmarker generieren.
Der Zähler wurde einfach bei jedem Testschuss und alle 25 Sekunden erhöht. Darüber haben wir nirgendwo geschrieben, es sollte eine kleine Spielüberraschung sein. Die Jungs haben es sehr schnell herausgefunden und das Megatron im Kampfmodus gestartet.
Schritt 5. Laserbrennen Sie das Seil
Wie es war
Hier ist alles einfach. Das Senden eines Kampfmarkers würde den Laser in den Kampfmodus versetzen und der Raum würde sich verändern und in den „Katastrophenmodus“ gehen, wie wir es im allgemeinen Szenario nannten:
- Alle Lichter im Raum gingen aus
- Schaltflächen für IoT-Geräte auf der Website waren nicht mehr verfügbar
- Blinkende Lichter und Sirenenton
- Das rote Gewicht wurde beleuchtet
- Auf dem Fernsehbildschirm begann ein Countdown, bis der Laser in den Kampfmodus geschaltet wurde.
Wir gaben dem Countdown eineinhalb Stunden Zeit, damit jeder, der mitspielte, Zeit hatte, die Übertragung einzuschalten und das Finale zu sehen. Und das aus gutem Grund: Während ich mit angehaltenem Atem auf das Geräusch von Einschlägen und zerbrechendem Glas aus dem Nebenraum wartete, begann das gesamte Team, das die Quest erstellt hatte, wortlos zur Basis zu gehen, um mit ihnen das Ende zu sehen eigenen Augen. Sie rannten einfach in den Raum und begannen sich zu umarmen.
Mittlerweile auf Discord
Nachdem der Countdown abgelaufen war, ging der Laser in Aktion und brannte innerhalb von zwei Minuten durch das Seil – das Gewicht flog direkt in das Aquarium. Vor dem Aufprall schrie ein verrücktes Wasserschwein auf dem Bildschirm und hob panisch seine kleinen Beine.
Da das gesamte Team dort versammelt war, haben wir eine kleine Nachricht an alle geschossen, die zwei Tage lang auf Discord um das Finale gekämpft haben, und sind gegangen, um den Champagner zu öffnen:
Wie haben wir den Zeitpunkt der Veröffentlichung von Werbevideos und die Gewichtsflucht berechnet?
Nach einem Dutzend Versuchen, ein Seil mit einem Laser zu verbrennen, stellten wir fest, dass es sich um eine sehr unzuverlässige Konstruktion handelt – das halbverbrannte Seil wird dünner, unter der Last des Gewichts dehnt es sich, verändert seine Position und der Laser kann nicht mehr durchschneiden es völlig.
Deshalb haben wir einen anderen Weg eingeschlagen: Wir duplizierten das Ausbrennen, indem wir das Seil mit Nichromfaden umwickelten. Ein Strom wurde durch den Faden geleitet, er wurde glühend heiß und brannte in etwa 2 Sekunden durch das Seil – dies gab uns eine genaue Vorstellung davon, wann wir das schreiende Wasserschwein einschalten, den Starttimer stoppen und den Werbespot starten sollten:
Was hat bei uns nicht funktioniert?
Am Ende sollte dicker Rauch aus der Systemeinheit austreten, wie bei einem Brand – wir haben Rauchbomben vorbereitet, sie auf die gleiche Weise angezündet, aber aus irgendeinem Grund haben sie nicht funktioniert (wahrscheinlich wegen Wasser).
Wer ist der Gewinner?
Der Gewinner kam heraus Arkadi Alexejew aus St. Petersburg – er war der erste, der einen Testtoken generierte und das restliche Geld im Schredder in Höhe von 134 Rubel gewann.
Ein kurzes Interview mit Arkady.
Erzählen Sie uns etwas über sich, was machen Sie bei der Arbeit?
Ich bin ausgebildeter Sicherheitsspezialist und habe meinen Abschluss am BIT der ITMO gemacht. Ich arbeite als ausgelagerter Full-Stack-Webentwickler. In der Schule habe ich an Wettbewerben teilgenommen, unter anderem in den Fächern Programmieren und Mathematik.
Wie haben Sie von dem Spiel erfahren?
Ich ging nur zum Lesen zu Habr, sah den Artikel und wurde neugierig.
Wie viele Stunden hast du gespielt, als du beigetreten bist?
Ich bin am Abend des Tages, an dem der Artikel veröffentlicht wurde, beigetreten (also einen Tag vor Ende). Ich verbrachte den Abend und einen Großteil des nächsten Tages.
Was hat Ihnen gefallen und was nicht?
Im Allgemeinen hat mir alles gefallen (natürlich habe ich gewonnen)), aber ich war etwas nervös wegen der Anrufe. Na ja, jede Version anzurufen und zu überprüfen war irgendwie nicht sehr gut, zumindest war es umständlich – ich habe verstanden, dass immer noch mehrere Dutzend von ihnen anriefen, die Hälfte von ihnen machte Witze und versuchte, Social Engineering zu betreiben.
Wie haben Sie herausgefunden, wie Sie den Kampfmarker für Megatron finden?
Als ich reinkam, hatten sie bereits Spam auf dem Server verteilt, Glühbirnen gestochen, das Passwort für das Laser-Admin-Panel und alle möglichen Subdomains und Seiten gefunden.
Es war auch einfach, ein Profil auf Github und einen Kerninhalt mit Kommentaren zu finden. Von da an ist der Prozess der Generierung eines Tokens und eines Geheimnisses dafür offensichtlich. Bei solchen Quests muss man meiner Meinung nach nicht viel erfinden, da man in einer Menge Optionen für die Entwicklung von Ereignissen ertrinken kann; und dementsprechend müssen Sie folgen, wohin der Ersteller der Quest Sie drängt.
Unter Berücksichtigung der verbleibenden Subdomains und der Testseite auf Tilde war klar, dass nach dem Einschalten des Lasers ein Token ausgewählt werden musste. Dementsprechend skizzierte ich noch am selben Abend eine ungefähre Aufforderung zum Einschalten des Lasers (basierend auf 4 verfügbaren Formularen: 1 auf der Arbeitsstelle und 3 auf der Test-/alten) und versuchte, mit Arbeitsmarken ab 42 zu bruten (naja, Für den Narren - plötzlich ist dort schon alles aktiviert und die Seite mit dem Senden des Tokens wird einfach nach der TIN und dem vollständigen Namen geöffnet.
Ich bin mir nicht sicher, ob die Anfrage korrekt war, da keine Zeit zur Überprüfung blieb (schließlich konnte nur überprüft werden, ob der Laser eingeschaltet war), aber ich habe mich im Voraus auf die Suche nach dem Token vorbereitet.
Es gab auch eine offensichtliche Logik mit Websockets und Geräteverwaltung in der app.js-Datei. Es gab einen fetten Hinweis auf ein A9-Gerät, beim Senden von Strom: Richtig, woraufhin die Steckdose abstürzte. Ich habe versucht, alles dorthin zu schicken – man weiß nie, es könnte ein zusätzliches Gerät zum Lösen der TIN geben, aber ohne Erfolg.
Dann habe ich die restlichen ID-Dateien neben diesen zehn durchsucht, aber überall war ein unbekanntes Gerät. Ich habe auch versucht, alles Mögliche zu googeln, klettere weiter [E-Mail geschützt] , schickte alles im Formular auf der Preislistenseite ab, recherchierte ein wenig bei Lasermasters, aber alles ohne Erfolg. Am nächsten Tag saß ich im Chat und googelte alles Mögliche, dann kam das Thema Stego auf und ich beriet mich mit der Stegosolve-Person nach Bildern und Gifs (aber mir war im Geiste klar, dass da in 99 % der Fälle nichts war, seitdem das wäre zu viel + ein Widerspruch zur Hauptquestreihe).
Aber am Ende saß ich auch ein paar Stunden da und wühlte mich durch alle Bilder und Gifs. Ich habe noch ein paar Mal mit verschiedenen TIN-Optionen angerufen, aber es hat nicht funktioniert. Dann beschloss ich, es aufzugeben, aber sie veröffentlichten dort einen Hinweis – und es wurde klar, dass die Steueridentifikationsnummer (TIN) in naher Zukunft gefunden werden würde, was auch geschah. Dann schickte entweder ich oder jemand anderes (es ist nicht offensichtlich) Power: True an das a9-Gerät und der Laser fing an zu arbeiten, obwohl möglicherweise keine Verbindung bestand und er erst nach dem TIN anfing zu funktionieren. Im Allgemeinen ging ich in das Admin-Panel des Lasers und war ziemlich überrascht, da der Server selbst den Token gesendet hat (und ich mich bereits auf Brute vorbereitet habe). Es stellte sich heraus, dass es sich bei dem Token um einen Test-Token handelte, da die Übertragung + gesunder Menschenverstand + ich ihn überprüft hatte.
Der Code enthielt die Logik, ein funktionierendes Token als Benachrichtigung irgendwohin zu senden, aber offenbar war es entweder der falsche Code oder er wurde für andere Teile des Systems benötigt. Ich entwarf ein Skript, um das aktuell funktionierende Token vom aktuellen Test-Token zu erhalten, und begann, auf F5 zu sitzen und zu versuchen, sie zu senden – dabei gab es Probleme, da jeder ständig auf die Senden-Taste drückte und dadurch das Token, wenn möglich, änderte. Dann stürzte die Seite ab, der Zähler wurde zurückgesetzt, aber darum geht es nicht – nach einer Weile habe ich ein funktionierendes Token gesendet. Theoretisch lag der Zähler bei 58 und токен был 449a776938f7ce4cf19f8603045dca0f zum Zeitpunkt der Aktivierung, wenn ich mich nicht irre. Das ist alles.
Dann war ich etwas ausgebrannt von Kommentaren wie „Ja, das ist alles trivial, aber ich hatte einfach Glück.“ Nun, wenn Sie auf die Seite gehen, eine Minute nachdenken, in ein paar Minuten ein Skript schreiben, es überprüfen – dann ist es ja trivial. Aber ich habe es in 10–20 Sekunden geschafft und dann konnte ich den Token mehrere Minuten lang einfach nicht senden.
Natürlich könnten Sie versuchen, eine Logik zu schreiben, um sie automatisch aufzunehmen und zu senden, aber das würde länger dauern und ein großes Risiko darstellen, außerdem würde die Cloud wahrscheinlich anfangen zu fluchen. Womit ich wirklich Glück hatte, war der allerletzte Schritt – ein paar Algorithmen für Geschwindigkeit + Reaktionsgeschwindigkeit, das ist nur meins. Wenn es eine Aufgabe direkt aus dem Pentest gegeben hätte, wäre ich höchstwahrscheinlich nicht der Erste geworden.
Dies ist jedoch nicht das Ende
Ich kann es kaum erwarten, Ihnen von dem großartigen Team zu erzählen, das diesen Fluchtraum gebaut hat, und von all den technischen Lösungen, die sie entwickelt haben. Aber dieser Beitrag hat sich bereits als zu umfangreich herausgestellt – daher wird es hierzu separate Artikel geben, also bleiben Sie dran und abonnieren Sie unseren Blog auf Habré.
Source: habr.com