Antaŭ kelkaj tagoj ni kompletigis unu el la plej emocie ŝargitaj eventoj, kiujn ni bonŝancis gastigi kiel parto de la blogo - interreta hakerludo kun servila detruo.
La rezultoj superis ĉiujn niajn atendojn: la partoprenantoj ne nur partoprenis, sed rapide organizis sin en bone kunordigita komunumo de 620 homoj sur Discord, kiu laŭvorte prenis la serĉon per ŝtormo en du tagoj sen paŭzo por dormo.
Kaj jen kiel ĝi finiĝis:
Kiel ĉio komenciĝis kaj pri kio ĝi temas?
La ludo komenciĝis la 12-an de aŭgusto kiam ni afiŝis en la blogo kun video, en kiu retpirato en formo de kranio proponas ludi ludon, detrui la servilon, kaŭzi fuŝkontakton en la ĉambro (nu, aŭ mini-fajro) kaj preni la restantan monon en la shredder.
Ĝi estis reta serĉo: ni lanĉis jutub-elsendon de ĉambro, kiu estis plenigita per iot-aparatoj, sublita servilo (kiu devis esti detruita), kaj akvario estis fiksita super la servilo kaj pezo pendis super ĝi. Por fari la ludon pli plena de ago, ni decidis fari premiofondaĵon de 200 000 rubloj, kiujn ni ŝargis en la disrompilon kaj agordis ĝin por ŝalti ĉiujn 60 minutojn. Ĉiuhore la shredder manĝis 1000 rublojn - ju pli frue la ludantoj haltigos ĝin, des pli da mono ili gajnus.
Konstrui ĉi tiun serĉon estis serĉo en si mem - ni devis manĝi nur manĝaĵon kaj dormi kelkajn horojn ĉiutage ĝuste en la sama ĉambro. Sed la plej mirinda afero estis rigardi la pensflugon de la ludantoj kaj ilian emocian efikon en la procezo.
Verdire, la eltrovemo de la ludantoj solvi la enigmojn multfoje superis nian modestan ideon: ĉiun liberan minuton ni legis la malkonkordan babilejon kaj en kelkaj kazoj laŭvorte ploris pro rido, eksciante, kion faras la ludantoj kaj kiel ili ŝercis. la procezo.
7 homoj senlace laboris pri la projekto: subtenanto, hardvaristo, vera filmproduktanto, CG-dezajnisto kaj du ideologiaj kunproduktantoj.
Ni rakontos al vi en la sekvaj afiŝoj precize kiel la serĉo estis efektivigita de teknika vidpunkto, sed nuntempe mi rakontos al vi la solvon: kiel ĝuste necesis haki ĉi tiun ĉambron en la elsendo. Samtempe, ni memoru la kronologion de eventoj, same kiel ĉiujn frenezajn Illuminati-teoriojn de la malkonkorda babilejo kaj jen ĝi.
Kion havis la ludantoj komence de la ludo?
Ĉiuj objektoj en la ĉambro estis dividitaj en tri kategoriojn:
- Facile uzeblaj, ne-ludaj iot-aparatoj
- Ludaj aparatoj por kompletigi la serĉon
- Komentario
Ni metis 8 tre facile administreblajn elementojn: du lampojn, unu girlandon, kvin literojn de FALCON, el kiuj ĉiu ŝanĝeblas en koloro. Ĉio ĉi povus esti ŝaltita/malŝaltita rekte de la retejo kaj tuj vidi la rezulton en la elsendo - ni specife disponigis ilin al ĉiuj ludantoj, sendepende de ilia nivelo de teknika sagaco.
Ĉio, kio estis simple inkluzivita de la retejo
El la gravaj ludelementoj, kiuj estis bezonitaj por kompletigi la serĉon, kaj al kiu aliro ne estis tiel facile akiri:
- Servilo kun malfermita kovrilo kaj akvario super ĝi
- Pezo suspendita por rompi akvarion
- Megatron 3000 - potenca lasermontrilo direktita kontraŭ la ŝnuro kiu tenas la pezon
- Potenca adoranto, kiu komenciĝis kiam la servilo estis sub ŝarĝo
- Flipchart sur kiu la ensaluto kaj pasvorto por Megatron estis skribitaj
- Telefono, kiun vi povus voki kaj vidi vian vokon viva
- La shredder kiu manĝis 1000-rublajn biletojn por horo
Kiel ĝuste la serĉo estis solvita?
Mi tuj diros: la kesteto malfermiĝis tute simple.
La celo de la ludo estis maldaŭrigi la shredder kaŭzante fuŝkontakton en la ĉambro. Por fari tion, estis necese rompi la akvarion ĵetante pezon en ĝin kaj plenigi la servilon per akvo. La pezo estis tenita sur ŝnureto kiun Megatron celis. Prenante kontrolon de Megatron, la ŝnuro povus esti tranĉita. Ĉi tio estis farita en 5 simplaj paŝoj:
Paŝo 1. Ŝarĝu la servilon en la ĉambro
Ekzemple, sendante pakaĵojn kun komando.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaLa sugesto estis tre ŝarĝa sur .
La sama captcha kiu devis esti atakita
Kiam la servilo estis ŝarĝita, ĝia temperaturo pliiĝis kaj tio povus esti monitorita sur la monitora sistemo malfermita rekte antaŭ la fotilo. Tiam la ventumilo ekŝaltis, kiu malfermis malpezan kurtenon sur la paperfolio. Tiam malfermiĝis la ensaluto kaj pasvorto por aliri la paĝon de Megatron, skribitajn sur la tabulo.
Kaj la Megatron-administra paĝo mem troveblas kontrolante ĉiujn atestojn eldonitajn por la domajno ooosokol.ru.
Sur subdomajno estis Megatron-kontrolpaĝo. Sed ĝi ne malfermiĝis ĝis Megatron estis provizita per primara potenco.
La ludantoj trapasis ĉiujn ĉi tiujn stadiojn preskaŭ tuj en la komentoj de la elsendo en Jutubo. Tiam la taskoj fariĝis pli komplikaj kaj la ludantoj kreis la RUVDS Hack Room malkonkordan servilon kaj daŭrigis la diskuton tie.
Paŝo 2: Apliku Primaran Potencon al Megatron
Ĉiuj inteligentaj aparatoj kontrolitaj de la retejo (la samaj lampoj, kiujn ludantoj ŝaltis kaj malŝaltis senhalte) havis siajn proprajn identigilojn.
Por provizi ĉefan potencon al Megatron kaj samtempe lumigi ĝin, estis necese trovi kaj ŝalti kaŝitan aparaton sur la oficeja administra paĝo.
Por fari tion, vi devis rigardi la aparato-identigilojn kaj rimarki, ke estas 4 aparatoj entute, sed nur 3 disponeblas en la retejo.
Kiam la 4-a aparato estis ŝaltita, la Megatron-paĝo iĝis havebla kaj la lasero mem estis elstarigita. Sed samtempe estis neeble pafi laseron, kaj ĝi Estis mesaĝo, ke la lasero ankoraŭ ne haveblas kaj sugesto: estis trafikŝtopiĝo en la oficejo, vi devas voki la administran kompanion kaj peti potencon.
Sugesto pri la administra firmao
3. Voku la administran kompanion kaj petu ŝalti la potencon de Megatron
Laŭ la ENT, Megatron ne povis pafi ĉar la trafikŝtopiĝoj en la oficejo estis batitaj senkonscie. Nur la administra firmao povis reŝalti la potencon, kiu devis esti kontaktita kaj identigita kiel la posedanto de la LLC.
Estis facile trovi la numeron de administradfirmao - ni enmetis ĝin rekte en la piedlinion.
Sed identigo estis multe pli malfacila.
Alvokinte la numeron +74991130688, ina telefonistino prenis la telefonon kaj per enuigita voĉo petis la INN de la kompanio kaj la plenan nomon de la posedanto. Sen ĉi tio, ŝi rifuzis ŝalti la potencon kaj klarigis tion per la fakto, ke ŝi estas ordinara subkontraktita kontrolĉambro, ili havas 2000 klientojn kaj oficejojn, kaj sen ĉi tiu informo estas simple neeble trovi tiun, kiun ili bezonas.
Ĉi tio montriĝis por la plej malfacila stadio por la ludantoj. Necesis preskaŭ du tagoj por trovi la ĝustan TIN kaj plenan nomon de la posedanto, kaj mi (reprezentita de la funkciigisto de la kontrolĉambro) ricevis pli ol 400 vokojn dum ĉi tiu tempo. La telefono sonoris ĉiujn 2-3 minutojn.
La uloj fosis kiel eble plej bone. Ĉio estis uzata: ili senintestigis la fontkodon de la retejo, Guglodis la retejan posedanton Sokolov, kaj serĉis tra sociaj retoj.
Ili serĉis impostajn identigajn numerojn de malsamaj kompanioj
Preskaŭ kompleta serĉskemo
Iam ili eĉ telefonis per falsa numero - kvazaŭ ili telefonus el la oficejo de la kompanio Sokol listigita en la piedlinio.
Tiam ni eksciis, kiom da kompanioj nomiĝas Sokol. Preskaŭ ĉiu el ĉi tiuj kompanioj ricevis vokojn de ludantoj, sed ĉi tio estis nenio kompare kun tio, kion la retejo spertis , de kiu ni fakte aĉetis tiun saman Megatron antaŭ proksimume monato.
Unue, la malkonkordo atakis la Lasersmasters-subtenon.
Tiam ni povis trovi ies konton tie! Dum la subteno de Lasermasters jam ĉesis ŝpari esprimojn.
Atentu, tenu infanojn for de la ekrano
En la fino, Lasermasters decidis nur ĝeni ilin kaj ilia retejo kraŝis. Same kiel ni sukcesis malkonstrui la Sokol-ejon, kvankam ni rapide altigis ĝin.
Dum la esploro, la uloj de la malkonkordo eĉ trovis aktoron, kies foton ni aĉetis el akcioj, por ke li ludu la rolon de la ĉefa antagonisto, la posedanto de la LLC Andrej Sokolov. Montriĝis, ke lia nomo estas Jurij kaj li tute ne havas ideon, en kian ĥaoson li eniris.
Andrey Sokolov, ludfiguro
Jurij, modelo
Se nur li scius, kiel li devigis 600 homojn ne dormi dum du tagoj...)
Tiam ili komencis fosi specife por mi, kiel la organizanto de la serĉo (kiu tre bone povus finiĝi en sukceso se la uloj divenus haki miajn laborkanalojn).
Mi eĉ iom maltrankviliĝis, kiam ili nomis mian patronimon kaj eĉ mian Impostpaganto-Identiga Numero. Sed trankviliĝis kiam, dum la difektita telefono funkciis, mi subite havis pli maljunan fraton, kiu subite montriĝis kiel la teknika direktoro de Habr.
Mia kara frato, kiu ankaŭ suferis
Dume, la divenoj fariĝis pli kaj pli nekredeblaj
Kaj ĝi venis al Illuminati-teorioj.
La plej sukaj konspiraj teorioj koncernis SpongeBob, Harry Potter kaj la palpebrumon de la ĉina dioda girlando, kiun ni metis ene de la sistemunuo.
De kie estas SpongeBob kaj Harry Potter, vi diras? Ni metis iliajn adresojn en la kontaktpaĝon de Sokol kaj tio kaŭzis multe da spekulado en la malkonkorda komunumo. Kvankam ni volis nur omaĝi niajn plej ŝatatajn infanajn verkojn.
La sama referenco sur la paĝo ""
Kaj kiel rezulto
Montriĝis, ke vere estas SpongeBob dokumentoj en la serio. Ili estis nomitaj kiel TIN
Unu el la plej kompleksaj teorioj estis ke la palpebrumante ĉina girlando enhavis mesaĝon en morsa kodo.
La flagrado estis registrita kaj provis esti deĉifrita
Pli simpla teorio estas ke la uloj provis eltrovi ĉu la indico estis kaŝita en la kartoj.
Survoje ni estis komparitaj kun — senmerite alta takso, sed tamen agrabla.
Ludantoj provis socian inĝenieristikon per sia tuta forto. Ili vokis min sub la alivestiĝo de la FSB, fajrobrigadistoj, Sokolov mem, lia eksedzino kaj la sekurgardisto, kiu supozeble sidas malsupre. Ili diris ke fajro komenciĝis, iu estis blokita en la lifto, kaj la plej korŝira rakonto estis ke la hundo de la alvokanto supozeble sidis en la oficejo, englutita de fajro.
Ekzistis ankaŭ provoj ĉe subaĉeto
Malrapide, miaj propraj memeoj komencis aperi en la babilejo.
Jen paro
Dume, la fabrikoj staris senmovaj
prompto
Estis malpli kaj malpli da mono en la shredder. Por ke la gajninto ricevu almenaŭ ion, ni decidis doni aludon. Samtempe, sekvante la regulojn de luddezajno, altigu la streĉiĝon ĝuste antaŭ la finalo.
Apartigi Ni afiŝis filmeton en la blogo. Komence, peco de Fight Club estis enigita kiel referenco al Tyler Durden, kiu pensis pri enigado de la 25-a kadro en filmojn dum li laboris en kinejoj.
Ni decidis apliki la saman mekanikon kaj enmetis sugeston pri la 25-a kadro pri kiel ĝusta TIN kaj plena nomo de la posedanto.
Post tio la uloj eltrovis ĝin tre rapide
Paŝo 4. Pafu laseron en ne-batala reĝimo
Kiam potenco estis liverita fare de la administra firmao kaj post kiam la ŝtopiloj estis enŝaltitaj, Megatron ŝaltis kaj povis pafi en testreĝimo. Ĵetono por prova pafo jam estis enigita en la enigformularon.
Ĉiuj 25 sekundoj nova ĵetono estis generita, ĉi tio povus esti uzata por ŝalti la laseron dum 10 sekundoj ĉe 10/255 potenco.
Tiam la lasero malvarmiĝis dum 1 minuto kaj dum ĉi tiu minuto estis neatingebla kaj ne akceptis novajn petojn por pafo.
Tiu potenco estis tute nesufiĉa por bruligi tra la ŝnuro, sed ĉiu ludanto povis pafi de Megatron kaj vidi la laserradion en ago.
La reago de la komunumo estis pli ol vigla
Sed ĉiuj rapide trankviliĝis kaj komprenis, ke ĉi tio ne estas la fino de la ludo.
Tiam la komunumo komencis ekscii kiel lanĉi batalreĝimon
cerbumi
Estas falsaĵoj pri malkonkordo
Ni ne sciis, ke estas io skribita sur la tablokruro en la elsendo
La komunumo venis al la paŝo 4. Komprenu kiel ĵetonoj estas generitaj: trovu la esencon kaj generu ĵetonon, kiu ŝaltas la laseron en batalreĝimo.
La batalreĝimo de Megatron estas 100% lasera potenco je 3 vatoj. Ĉi tio sufiĉas dum 2 minutoj por bruligi tra la ŝnuro, kiu tenis la pezon, rompi la akvarion kaj inundi la servilon per akvo.
Ni lasis kelkajn sugestojn pri : nome la ĵeton-genera kodo, el kiu oni povus kompreni, ke la test- kaj batal-ĵetonoj estas generitaj surbaze de la sama nombrilo. En la kazo de batalĵetono, krom la kontraŭvaloro, ankaŭ estas uzata salo, kiu preskaŭ tute restas en la ŝanĝhistorio de ĉi tiu esenco, escepte de la lastaj du karakteroj.
Kiel ĉiuj rapide divenis, ĝi estis 42
En la komentoj de la esenco estis korespondado inter Andrey Sokolov kaj la programisto ("saĝa programisto", kiel nomis lin la uloj de malkonkordo).
En la korespondado, Andrey sendis unu el la batalaj ĵetonoj, kaj la programisto respondis, ke ĉi tiu ĵetono estis pravigita kun kontraŭvaloro de 42.
Konante ĉi tiujn datumojn, eblis ordigi la lastajn 2 simbolojn de la salo kaj efektive ekscii, ke la nombroj de Lost, konvertitaj al la deksesuma sistemo, estis uzataj por ĝi.
Tiam la ludantoj devis kapti la nombrilo-valoron (analizante la testĵetonon) kaj generi batalĵetonon uzante la sekvan nombrilovaloron kaj la salon elektitan ĉe la antaŭa paŝo.
La nombrilo simple pliiĝis kun ĉiu prova pafo kaj ĉiujn 25 sekundojn. Ni ne skribis pri ĉi tio ie ajn, ĝi laŭsupoze estis malgranda ludsurprizo. La uloj eltrovis ĝin tre rapide kaj lanĉis la megatron en batalreĝimo.
Paŝo 5. Lasero bruligi la ŝnuron
Kiel estis
Ĉio estas simpla ĉi tie. Sendi batalan ĵetonon transformus la laseron en batalreĝimon, kaj la ĉambro ŝanĝiĝus kaj enirus "katastrofan reĝimon", kiel ni nomis ĝin en la ĝenerala scenaro:
- Ĉiuj lumoj en la ĉambro estingiĝis
- Butonoj por iot-aparatoj en la retejo fariĝis neatingeblaj
- Ekbrilaj lumoj kaj sirena sono
- La ruĝa pezo estis lumigita
- Retronombrado komenciĝis sur la televidekrano ĝis la lasero estis lanĉita en batalreĝimon.
Ni donis al la retronombrado horon kaj duonon, por ke ĉiuj, kiuj ludis, havu tempon ŝalti la elsendon kaj vidi la finalon. Kaj pro bona kialo: dum mi atendis senspirante la sonon de trafo kaj rompanta vitron de la apuda ĉambro, la tuta teamo kiu konstruis la serĉon, sen diri eĉ vorton, komencis iri al la bazo por vidi la finon kun sia propraj okuloj. Ili nur kuris en la ĉambron kaj komencis brakumi.
Dume sur malkonkordo
Post kiam la retronombrado finiĝis, la lasero ekfunkciis kaj post du minutoj brulis tra la ŝnuro - la pezo flugis rekte en la akvarion. Antaŭ la trafo, freneza kapibaro kriegis sur la ekrano, paniko levante siajn malgrandajn piedojn.
Ĉar la tuta teamo estis kunveninta tie, ni pafis mesaĝon al ĉiuj, kiuj batalis por la finalo dum du tagoj en malkonkordo kaj iris malfermi la ĉampanon:
Kiel ni kalkulis la tempon de la lanĉo de reklamvideoj kaj la flugon de la pezo?
Post dekduo da provoj bruligi ŝnuron per lasero, ni konstatis, ke tio estas tre nefidinda dezajno - la duonbruligita ŝnuro fariĝas pli maldika, sub la pezo de la pezo, kiun ĝi etendas, ŝanĝas lokon, kaj la lasero ne plu povas tratranĉi. ĝi tute.
Tial, ni prenis alian vojon: ni duobligis la elĉerpiĝon envolvante la ŝnuron per nikroma fadeno. Fluo estis trapasita tra la fadeno, ĝi fariĝis ruĝe varma kaj brulis tra la ŝnuro en ĉirkaŭ 2 sekundoj - ĉi tio donis al ni precizan komprenon pri kiam ŝalti la kriantan kapibaron, ĉesigi la starttempigilon kaj komenci la reklamvideon:
Kio ne funkciis por ni?
Fine, densa fumo devis eliri el la sistema unuo, kiel en fajro - ni preparis fumbombojn, lumigis ilin same, sed ial ili ne funkciis (verŝajne pro akvo).
Kiu estas la gajninto?
Eliris la gajninto Arkadio Alekseev el Sankt-Peterburgo - li estis la unua se temas pri generi testĵetonon kaj gajnis la restantan monon en la shredder en la kvanto de 134 rubloj.
Mallonga intervjuo kun Arkadio.
Rakontu al ni pri vi mem, kion vi faras en la laboro?
Mi estas sekureca specialisto per trejnado, diplomiĝis ĉe BIT ĉe ITMO. Mi laboras kiel subkontraktita plena stak-programisto. En la lernejo mi konkuris en konkursoj, inkluzive de programado kaj matematiko.
Kiel vi eksciis pri la ludo?
Mi iris al Habr nur por legi, vidis la artikolon kaj interesiĝis.
Kiom da horoj vi ludis kiam vi aliĝis?
Mi aliĝis vespere de la tago, kiam la artikolo estis publikigita (t.e. unu tagon antaŭ la fino). Mi pasigis la vesperon kaj bonan parton de la sekva tago.
Kion vi ŝatis kaj kio ne?
Ĝenerale mi ŝatis ĉion (kompreneble, mi venkis)), sed mi estis iom nervoza pri la alvokoj. Nu, kiel, voki kaj kontroli ĉiun version estis iel ne tre bona, almenaŭ ĝi estis mallerta - mi komprenis, ke ankoraŭ kelkaj dekoj da ili vokas, duono el ili ŝercis kaj provis okupiĝi pri socia inĝenierado.
Kiel vi eltrovis kiel trovi la batalĵetonon por Megatron?
Kiam mi eniris, ili jam spamis la servilon, pikis ampolojn, trovis la pasvorton por la lasera administra panelo, ĉiajn subdomajnojn kaj paĝojn.
Ankaŭ estis facile trovi profilon sur Github kaj esencon kun komentoj. De tie, la procezo de generado de ĵetono kaj sekreto por ĝi estas evidenta. En tiaj serĉoj ne necesas elpensi multon, MIHO, ĉar vi povas droni en amaso da ebloj por la disvolviĝo de eventoj; kaj sekve vi devas sekvi kien la kreinto de la serĉo puŝas vin.
Konsiderante la ceterajn subdomajnojn kaj la testejon sur tilde, estis klare, ke post funkciigi la laseron, necesus elekti ĵetonon. Sekve, tiun saman vesperon mi skizis proksimuman peton por ŝalti la laseron (surbaze de 4 disponeblaj formoj: 1 sur la laborejo kaj 3 sur la testo/malnova) kaj provis brutigi per laboraj ĵetonoj ekde 42 (nu, por la malsaĝulo - subite ĉio estas jam tie ebligita, kaj la paĝo kun sendado de la ĵetono simple estos malfermita post la TIN kaj plena nomo).
Mi ne certas, ke la peto estis ĝusta, ĉar ne estis tempo por kontroli (finfine, nur eblis kontroli, ke la lasero estas ŝaltita), sed mi antaŭpreparis por la serĉo de la ĵetono.
Ekzistis ankaŭ evidenta logiko kun websockets kaj aparato-administrado en la app.js-dosiero. Estis aŭdaca sugesto de a9-aparato, dum sendado de potenco: vera al kiu la ingo kraŝis. Mi provis sendi ĉion al ĝi - oni neniam scias, povus ekzisti plia aparato por solvi la TIN, sed sen sukceso.
Poste mi serĉis la ceterajn ID-dosierojn apud tiuj dek, sed ĉie estis nekonata aparato. Mi ankaŭ provis gugligi ĉiajn aferojn, surgrimpi [retpoŝte protektita], sendis ĉion en la formo sur la prezlisto paĝo, faris iom da fosado kun lasermasters, sed ĉio sen sukceso. La sekvan tagon mi sidis en la babilejo, guglis ĉiajn aferojn, tiam aperis la stego-temo kaj mi konsultis kun la stegosolve-ulo pri bildoj kaj gifoj (sed mi mense komprenis, ke 99% de la tempo tie estis nenio, ĉar tio estus tro multe + kontraŭdiro kun la ĉefa serĉlinio) .
Sed finfine mi ankaŭ sidis kaj trafosis ĉiujn fotojn kaj gifojn dum kelkaj horoj. Mi telefonis kelkajn pliajn fojojn kun malsamaj TIN-opcioj, sed ĝi ne funkciis. Tiam mi decidis rezigni ĝin, sed ili afiŝis aludon tie - kaj evidentiĝis, ke la Impostpaganto-Identiga Numero (TIN) estos baldaŭ trovita, kio okazis. Tiam aŭ mi aŭ iu alia (ne estas evidente) sendis potencon: fidele al la a9-aparato kaj la lasero ekfunkciis, kvankam eble ne estis konekto kaj ĝi ĵus ekfunkciis post la TIN. Ĝenerale, mi eniris la administran panelon de la lasero kaj estis sufiĉe surprizita, ĉar la servilo mem sendis la ĵetonon (kaj mi jam prepariĝis al bruto). Evidentiĝis, ke la ĵetono estis prova, ĉar la elsendo + komuna prudento + mi kontrolis ĝin.
La kodo enhavis la logikon sendi funkciantan ĵetonon ien kiel sciigon, sed ŝajne aŭ ĝi estis malĝusta kodo aŭ ĝi estis bezonata por aliaj partoj de la sistemo. Mi redaktis skripton por akiri la nunan laboran ĵetonon de la nuna prova unu kaj komencis sidi sur f5, provante sendi ilin - estis problemoj kun tio, ĉar ĉiuj konstante pikis la sendbutonon, tiel ŝanĝante la ĵetonon se eble. Tiam la retejo kraŝis, la nombrilo estis rekomencigita, sed tio ne estas la afero - post iom da tempo mi sendis funkciantan ĵetonon. En teorio la nombrilo estis 58 kaj токен был 449a776938f7ce4cf19f8603045dca0f en la momento de aktivigo, se mi ne eraras. Tio estas ĉio.
Tiam mi iomete forbrulis pro komentoj kiel "jes, ĉi tio estas ĉio bagatela, sed mi estis bonŝanca." Nu, se vi iras al la paĝo, pensu dum minuto, skribu skripton post kelkaj minutoj, kontrolu ĝin - do jes, ĝi estas bagatela. Sed mi faris ĝin en 10-20 sekundoj, kaj tiam mi simple ne povis sendi la ĵetonon dum pluraj minutoj.
Kompreneble, vi povus provi skribi logikon por repreni ĝin kaj sendi ĝin aŭtomate, sed tio daŭros pli longe kaj estus granda risko, krome la nubo verŝajne ekĵuris. Kion mi vere bonŝancis, estis la plej lasta etapo - kelkaj algoritmoj por rapido + reakcia rapideco, ĉi tio estas nur mia. Se estus tasko rekte de la pentesto, mi plej verŝajne ne fariĝus la unua.
Sed ĝi ankoraŭ ne finiĝis
Mi ne povas atendi rakonti al vi pri la mirinda teamo kiu konstruis ĉi tiun eskapan ĉambron kaj ĉiujn inĝenierajn solvojn, kiujn ili elpensis. Sed ĉi tiu afiŝo jam montriĝis tro grandega - do aperos apartaj artikoloj pri tio, do restu atenta kaj abonu nian blogon pri Habré.
fonto: www.habr.com