Hace un par de días, terminamos uno de los eventos más cargados de emociones que hemos tenido la suerte de presentar en un blog: un juego de pirateo en línea que destruye un servidor.
Los resultados superaron todas nuestras expectativas: los participantes no solo participaron, sino que rápidamente se organizaron en una comunidad bien coordinada de 620 personas en Discord, que literalmente tomó la búsqueda por asalto en dos días sin descanso para dormir.
Y así es como terminó:
¿Cómo empezó todo y de qué se trata?
El juego comenzó el 12 de agosto, cuando publicamos en el blog con un vídeo en el que un hacker con forma de calavera se ofrece a jugar, destruir el servidor, hacer un cortocircuito en la habitación (bueno, o un mini incendio) y llevarse el dinero que queda en la trituradora.
Fue una búsqueda en línea: lanzamos una transmisión de YouTube desde una habitación que estaba llena de dispositivos iot, un servidor junto a la cama (que tuvo que ser destruido), y arreglamos un acuario sobre el servidor y colgamos un peso sobre él. Para que el juego estuviera más lleno de acción, decidimos hacer un premio acumulado de 200 000 rublos, que cargamos en la trituradora y configuramos para que se encendiera cada 60 minutos. Cada hora, la trituradora consumía 1000 rublos: cuanto antes la detuvieran los jugadores, más dinero ganarían.
Construir esta búsqueda era una búsqueda en sí misma: teníamos que comer una entrega y dormir varias horas al día en la misma habitación. Pero lo más sorprendente fue observar el vuelo de los pensamientos de los jugadores y su retorno emocional en el proceso.
Para ser honesto, el ingenio de los jugadores para resolver los acertijos superó muchas veces nuestra modesta idea: cada minuto libre leíamos el chat de Discord y, en algunos casos, sollozábamos literalmente de risa, descubriendo qué estaban haciendo los jugadores y cómo bromeaban en el proceso.
7 personas trabajaron incansablemente en el proyecto: un backender, un especialista en hardware, un productor de cine real, un diseñador de CG y dos coproductores ideológicos.
En las siguientes publicaciones, le diremos exactamente cómo se implementó la búsqueda desde un punto de vista técnico, pero por ahora le diré su solución: cómo exactamente fue necesario hackear esta sala en la transmisión. Al mismo tiempo, recordemos la cronología de los eventos, así como todas las locas teorías Illuminati del chat de Discord y eso es todo.
¿Qué tenían los jugadores al comienzo del juego?
Todos los objetos en la habitación se dividieron en tres categorías:
- Dispositivos iot fáciles de administrar que no son de juegos
- Dispositivos de juego para pasar la misión.
- Entourage
Colocamos 8 elementos muy fáciles de manejar: dos lámparas, una guirnalda, cinco letras FALCON, cada una de las cuales podía cambiar de color. Todo esto se puede activar/desactivar directamente desde el sitio y ver inmediatamente el resultado en la transmisión; los pusimos específicamente a disposición de todos los jugadores, independientemente del nivel de conocimientos técnicos.
Todo lo que se acaba de incluir del sitio.
De los elementos importantes del juego que se necesitaban para completar la misión, y cuyo acceso no fue tan fácil de conseguir:
- Servidor con la tapa abierta y un acuario encima
- Un peso suspendido para romper un acuario.
- Megatron 3000: un potente puntero láser dirigido a la cuerda que sostiene el peso
- Un potente ventilador que se puso en marcha cuando el servidor estaba bajo carga
- Rotafolio en el que se escribieron el nombre de usuario y la contraseña de Megatron
- Un teléfono al que podrías llamar y ver tu llamada en vivo
- Schroeder que comía billetes de 1000 rublos por hora
¿Cómo se resolvió exactamente la búsqueda?
Diré de inmediato: el cofre se abrió de manera bastante simple.
El objetivo del juego era detener la trituradora provocando un cortocircuito en la habitación. Para ello, era necesario romper el acuario lanzándole un peso y llenar el servidor de agua. El peso estaba sostenido por una cuerda que Megatron estaba señalando. Al tomar el control de Megatron, la cuerda podría cortarse. Esto se hizo en 5 sencillos pasos:
Paso 1. Cargue el servidor en la sala
Por ejemplo, enviar paquetes con un comando.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaLa indirecta estaba muy cargada en .
El mismo captcha que tuvo que ser atacado
Cuando se cargó el servidor, su temperatura aumentó y esto se pudo rastrear en el monitor, abierto justo en frente de la cámara. Luego se encendió el ventilador, que abrió una cortina de luz en el rotafolio. Luego se abrió el usuario y la contraseña de acceso a la página de Megatron escritos en la pizarra.
Y la página de administración de Megatron se puede encontrar revisando todos los certificados emitidos para el dominio ooosokol.ru.
En un subdominio había una página de control de Megatron. Pero no se abrió hasta que Megatron recibió energía primaria.
Los jugadores pasaron por todas estas etapas casi de inmediato en los comentarios de la transmisión en youtube. Además, las tareas eran más difíciles y los jugadores crearon el servidor de discordia RUVDS Hack Room y continuaron la discusión allí.
Paso 2. Aplique energía primaria a Megatron
Todos los dispositivos inteligentes controlados desde el sitio (las mismas lámparas que los jugadores encendían o apagaban sin parar) tenían sus propios identificadores.
Para suministrar energía primaria a Megatron y al mismo tiempo iluminarlo, era necesario encontrar y encender un dispositivo oculto en la página de administración de la oficina.
Para hacer esto, fue necesario mirar los identificadores de dispositivos y notar que hay 4 dispositivos en total, y solo 3 están disponibles en el sitio.
Cuando se encendió el cuarto dispositivo, la página de Megatron estuvo disponible y el láser en sí se resaltó. Pero al mismo tiempo, era imposible disparar un láser, y en él había un mensaje de que el láser aún no estaba disponible y una pista: había atascos en la oficina, debe llamar a la empresa de administración y solicitar energía.
Sugerencia sobre la empresa de gestión
3. Llame a la empresa administradora y pida que encienda Megatron
Megatron no pudo dispararle a LOR porque los atascos de tráfico se eliminaron en la oficina. Solo la empresa administradora podía volver a encender la energía, que tenía que ser llamada por teléfono e identificada como el propietario de la LLC.
Encontrar el número de la empresa administradora fue fácil: lo insertamos directamente en el pie de página.
Pero la identificación fue mucho más difícil.
Al llamar al número +74991130688, la chica operadora descolgó el teléfono y pidió con voz aburrida el NIF de la empresa y el nombre completo del propietario. Sin esto, se negó a encender la energía y explicó esto diciendo que ella era una sala de control subcontratada ordinaria, tenían 2000 clientes y oficinas, y sin esta información era simplemente imposible encontrar la correcta.
Para los jugadores, esta resultó ser la etapa más difícil. Buscaron el TIN correcto y el nombre completo del propietario durante casi dos días, y durante este tiempo yo (representado por el operador del despachador) recibí más de 400 llamadas. El teléfono sonaba cada 2-3 minutos.
Los muchachos cavaron tan fuerte como pudieron. Se usó todo: destriparon el código fuente del sitio, buscaron en Google al propietario del sitio Sokolov, perforaron las redes sociales.
Estaban buscando el TIN de diferentes empresas
Esquema de búsqueda casi completo
En algún momento, incluso llamaron con una sustitución del número, como si estuvieran llamando desde la oficina de la compañía Sokol, indicada en el pie de página.
Luego aprendimos cómo se llama Sokol a una gran cantidad de empresas. Casi todas estas empresas fueron llamadas por jugadores, pero no fue nada comparado con lo que experimentó el sitio. , de quien realmente compramos ese mismo Megatron hace aproximadamente un mes.
Discord atacó primero al soporte de Lasermasters.
¡Entonces pudieron encontrar la cuenta de alguien allí! Mientras que el soporte de Lasermasters ya ha dejado de escatimar en expresiones.
Tenga cuidado, mantenga a los niños alejados de la pantalla.
Al final, Lasermasters decidió simplemente zaddosit y su sitio se cayó. Así como logramos poner el sitio del Halcón, aunque rápidamente lo levantamos.
Durante la investigación, los muchachos de la discordia incluso encontraron a un actor, cuya foto compramos de las existencias, para que interpretara el papel del principal antagonista, el propietario de Andrey Sokolov LLC. Resultó que su nombre es Yuri y no sabe en qué lío se metió.
Andrey Sokolov, personaje del juego
Yuri, modelo
Si supiera cómo hizo que 600 personas no durmieran durante dos días...)
Luego comenzaron a investigar específicamente para mí, como organizador de la búsqueda (que bien podría haber terminado con éxito si los muchachos hubieran adivinado cómo piratear mis canales de trabajo).
Incluso me preocupé un poco cuando llamaron mi segundo nombre e incluso TIN. Pero me sentí aliviado cuando, en el proceso de trabajar con un teléfono dañado, de repente tuve un hermano mayor, que de repente resultó ser el director técnico de Habr.
Mi querido hermano, que también sufrió
Mientras tanto, las conjeturas se volvieron cada vez más increíbles.
Y llegó a las teorías Illuminati.
Las teorías de conspiración más jugosas involucraron a Bob Esponja, Harry Potter y la guirnalda de diodos chinos parpadeantes que pusimos dentro de la unidad del sistema.
¿De dónde vienen Bob Esponja y Harry Potter, dices? Introducimos sus direcciones en la página de contacto de Sokol y generó mucha especulación en la comunidad de Discord. Aunque solo queríamos rendir homenaje a nuestras obras favoritas de la infancia.
El mismo enlace en la página ""
Y como un resultado
Resultó que realmente hay documentos de Bob Esponja en la serie. Fueron llamados como TIN
Una de las teorías más complejas era que el parpadeo de la guirnalda china tenía cosido un mensaje en código Morse.
Flicker fue grabado y trató de descifrar
De las teorías, es más simple: los muchachos intentaron entender si la pista no estaba cosida en las cartas.
En el camino, nos compararon con - calificación inmerecidamente alta, pero aún agradable.
Los jugadores probaron la ingeniería social con poder y fuerza. Me llamaron bajo la apariencia del FSB, los bomberos, el mismo Sokolov, su ex esposa y un guardia de seguridad que supuestamente se sienta abajo con nosotros. Se dijo que se había iniciado un incendio, que alguien estaba atrapado en el ascensor, y la historia más desgarradora fue que el perro de la persona que llamó supuestamente estaba sentado en la oficina envuelto en llamas.
También ha habido intentos de soborno.
Lentamente, sus propios memes comenzaron a aparecer en el chat.
aquí hay un par
Y las fábricas estaban ociosas
Tooltip
Había cada vez menos dinero en la trituradora. Para que el ganador obtenga al menos algo, decidimos hacer una pista. Al mismo tiempo, siguiendo las reglas del diseño del juego, justo antes de la final, aumenta la tensión.
Separado Publicamos un video en el blog. Al principio, se insertó una pieza de Fight Club, como una referencia a Tyler Durden, quien pensó en insertar el cuadro 25 en las películas mientras trabajaba en los cines.
Decidimos aplicar la misma mecánica e insertamos una sugerencia en el cuadro 25, como TIN correcto y nombre completo del propietario.
Después de eso, los muchachos lo resolvieron muy rápidamente.
Paso 4. Dispara el láser en modo de no combate
Cuando la empresa administradora suministró energía y después de encender los enchufes, Megatron se encendió y pudo disparar en modo de prueba. El token para el disparo de prueba ya se ha sustituido en el formulario de entrada.
Cada 25 segundos se generaba un nuevo token que podía usarse para encender el láser durante 10 segundos a 10/255 de potencia
Luego, el láser se enfrió durante 1 minuto y en ese momento no estaba disponible, no aceptó nuevas solicitudes de disparo.
Este poder no fue suficiente para quemar la cuerda, pero cualquier jugador podía disparar desde Megatron y ver el rayo láser en acción.
La reacción de la comunidad fue más que salvaje.
Pero todos se calmaron rápidamente y se dieron cuenta de que este no era el final del juego.
Luego, la comunidad comenzó a descubrir cómo iniciar el modo de batalla.
idea genial
Hay falsificaciones en la discordia.
No sabíamos que algo estaba escrito en la pata de la mesa durante la transmisión.
La comunidad ha llegado al paso 4. Comprenda cómo se generan los tokens: encuentre una esencia y genere un token que encienda el láser en modo de combate.
El modo de combate de Megatron es 100% de potencia láser de 3 vatios. Esto es suficiente durante 2 minutos para quemar la cuerda que sostenía el peso, romper el acuario y llenar el servidor con agua.
Hemos dejado algunos consejos para : a saber, el código de generación de fichas, por lo que fue posible entender que las fichas de prueba y de combate se generan en base al mismo indicador de contador. En el caso de una ficha de combate, además del valor del contador, también se usa una sal, que se deja casi por completo en el historial de cambios de esta esencia, con la excepción de los dos últimos caracteres.
Como todos adivinaron rápidamente, eran 42
En los comentarios de la esencia había una correspondencia entre Andrey Sokolov y el desarrollador ("desarrollador sabio", como lo llamaban los chicos de la discordia).
En la correspondencia, Andrey envió uno de los tokens de combate y el desarrollador respondió que este token se inicializó con un valor de contador de 42.
Conociendo estos datos, fue posible iterar sobre los últimos 2 caracteres de la sal y descubrir que los números de Lost convertidos a 16 se usaron para ello.
A continuación, los jugadores tenían que captar el valor del contador (mediante el análisis de la ficha de prueba) y generar una ficha de combate utilizando el siguiente valor del contador y la sal seleccionada en el último paso.
El contador simplemente aumentaba con cada disparo de prueba y cada 25 segundos. No escribimos sobre esto en ninguna parte, debería haber sido una pequeña sorpresa en el juego. Los muchachos lo descubrieron muy rápido y lanzaron el megatrón en modo de combate.
Paso 5. Corte con láser la cuerda
Cómo fue
Todo es simple aquí. Enviar una ficha de combate pondría el láser en modo de combate, y la habitación cambiaría y entraría en "modo desastre", como lo llamamos en el escenario general:
- Apagué todas las luces de la habitación.
- Los botones para dispositivos iot en el sitio dejaron de estar disponibles
- Sonido de intermitentes y sirenas
- El peso rojo se destacó
- En la pantalla del televisor comenzó una cuenta regresiva para el inicio del láser en modo combate.
Le dimos a la cuenta regresiva una hora y media para que todos los que jugaran pudieran encender la transmisión y ver la final. Y no en vano: mientras esperaba con gran expectación el sonido de un golpe y cristales rotos en la habitación contigua, todo el equipo que construyó la misión, sin decir palabra, empezó a ir a la base para ver el final con mi propios ojos. Simplemente entraron corriendo a la habitación y comenzaron a abrazarse.
Mientras tanto en Discord
Después del final de la cuenta regresiva, el láser se encendió en combate y quemó la cuerda en dos minutos: el peso voló directamente al acuario. Antes del impacto, un capibara enloquecido gritó en la pantalla, levantando sus patitas presa del pánico.
Como todo el equipo se reunió allí, filmamos un breve llamado a todos los que lucharon por la final en Discord durante dos días y fuimos a abrir el champán:
¿Cómo calculamos el tiempo de lanzamiento de los videos promocionales y el vuelo de la pesa rusa?
Después de una docena de pruebas de quemar la cuerda con un láser, nos dimos cuenta de que este es un diseño muy poco confiable: una cuerda medio quemada se vuelve más delgada, bajo el peso del peso que estiró, cambió su ubicación y el láser ya no pudo cortar hasta el final.
Por lo tanto, fuimos por el otro lado: duplicamos el quemado envolviendo la cuerda con hilo de nicrom. Pasó una corriente a través del hilo, brilló al rojo vivo y quemó la cuerda en aproximadamente 2 segundos; esto nos dio una comprensión precisa de cuándo encender el carpincho que gritaba, detener el temporizador de inicio y comenzar el comercial:
¿Qué no funcionó para nosotros?
Al final, se suponía que saldría humo espeso de la unidad del sistema, como en un incendio: preparamos bombas de humo, las prendimos fuego de la misma manera, pero por alguna razón no funcionaron (probablemente debido al agua).
¿Quién es el ganador?
salió el ganador Arkadi Alekseev de San Petersburgo: fue él quien fue el primero en generar un token de prueba y ganó el dinero restante en la trituradora por un monto de 134 rublos.
Una breve entrevista con Arkady.
Cuéntanos sobre ti, ¿qué haces en el trabajo?
Soy guardia de seguridad por educación, me gradué de BIT en ITMO. Trabajo como desarrollador web subcontratado full-stack. En la escuela fue una olimpiada, incluso en programación y matemáticas.
¿Cómo te enteraste del juego?
Fui a Habr solo para leer, vi un artículo, me interesé.
¿Cuántas horas jugabas cuando te uniste?
Me uní por la noche del día en que se publicó el artículo (es decir, un día antes del final). Sábado por la tarde y gran parte del día siguiente.
¿Qué te gustó, qué no te gustó?
En general me gustó todo (todavía gané), pero tensé un poco el momento con las llamadas. Bueno, llamar y verificar cada versión de alguna manera no fue muy bueno, al menos fue vergonzoso: entendí que había varias docenas más de ellos llamando, la mitad de ellos bromeaba e intentaba ingresar a la ingeniería social.
¿Cómo descubriste cómo encontrar la ficha de combate para el megatrón?
Cuando entré, ya enviaron spam al servidor, pincharon bombillas, encontraron la contraseña para el panel de administración láser, todo tipo de subdominios y páginas.
También fue fácil encontrar un perfil en github y una esencia con comentarios. A partir de ahí, el proceso de generar un token y un secreto para él es obvio. En tales misiones, no necesitas inventar mucho en mi humilde opinión, ya que puedes ahogarte en un montón de opciones para el desarrollo de eventos; y, en consecuencia, debes seguir donde te empuja el creador de la búsqueda.
Teniendo en cuenta el resto de los subdominios y el sitio de prueba de tilde, estaba claro que después de encender el láser, sería necesario recoger un token. En consecuencia, esa misma noche, esbocé una solicitud aproximada para encender el láser (basado en 4 formularios disponibles: 1 en el sitio de trabajo y 3 en el de prueba/antiguo) e intenté girar con fichas de trabajo a partir de 42 ( bueno, para un tonto, de repente todo ya está habilitado, y la página con el envío del token simplemente se abrirá después del TIN y el nombre completo).
No estoy seguro de que la solicitud haya sido correcta, ya que no hubo tiempo para verificar (después de todo, solo fue posible verificar el láser), pero me preparé para la enumeración de fichas con anticipación.
También había una lógica obvia con websockets y administración de dispositivos en el archivo app.js. Hubo una pista audaz en el dispositivo a9, al enviar energía: cierto a lo que se estrelló el zócalo. Intenté enviarle todo; nunca se sabe, podría haber un dispositivo adicional para resolver el TIN, pero sin éxito.
Luego también probé con el resto de las identificaciones junto a esas diez, pero había un dispositivo desconocido en todas partes. También traté de googlear todo, subir [email protected], envió cosas en el formulario de la página de la lista de precios, hurgó con lasermasters, pero no tuvo suerte. Al día siguiente estaba chateando, busqué cosas en Google, luego apareció el tema de stego y consulté a la persona de stegosolv para obtener imágenes y gifs (pero entendí en mi mente que el 99% no había nada allí, ya que sería demasiado + contradicción con la línea de búsqueda principal).
Pero al final, también me senté durante un par de horas y profundicé en todas las imágenes y gifs. Llamé un par de veces con varias opciones de TIN, pero antes. Luego decidí olvidarlo, pero publicaron una pista allí, y quedó claro que en un futuro cercano se encontraría el TIN, lo cual sucedió. Luego, yo o alguien más (no es obvio allí) envié energía: fiel al dispositivo a9 y el láser funcionó, aunque puede que no haya conexión aquí y solo funcionó después del TIN. En general, entré en el panel de administración del láser y me sorprendió bastante, ya que el servidor mismo envió el token (y ya me estaba preparando para la bruta). Se hizo evidente que el token es de prueba, ya que la transmisión + el sentido común + lo verifiqué.
El código tenía la lógica de enviar un token de trabajo a algún lugar mediante notificación, pero, aparentemente, este era el código incorrecto o era necesario para otras partes del sistema. Redacté un script para obtener el token de trabajo actual del token de prueba actual y comencé a sentarme en f5, tratando de enviarlos; hubo problemas con esto, ya que todos presionaban constantemente el botón de enviar, cambiando el token, si era posible. Luego, otro sitio se cayó, el contador se reinició, pero ya no importó: después de un tiempo, envié un token que funcionaba. En teoría, el contador era 58 y токен был 449a776938f7ce4cf19f8603045dca0f en el momento de la activación, si no me equivoco. En realidad todo.
Luego me quemé un poco por los comentarios como "sí, todo es trivial, pero suerte simple". Bueno, si vas a la página, piensas un minuto, escribes un guión en un par de minutos, lo revisas, entonces sí, es trivial. Pero lo hice en 10-20 segundos, y luego no pude enviar el token durante varios minutos.
Por supuesto, podría intentar escribir la lógica para recogerlo y enviarlo automáticamente, pero esto ya es más largo y un gran riesgo, además la nube probablemente comenzaría a maldecir. Eso es con lo que tuve mucha suerte, así que esto es con la última etapa: algunos algoritmos para velocidad + velocidad de reacción, esto es mío. Si hubiera una tarea directamente del pentest, lo más probable es que no fuera el primero.
Pero este no es el final.
No puedo esperar para contarles sobre todo el increíble equipo que construyó esta sala de escape y todas las soluciones de ingeniería que encontraron. Pero esta publicación ya resultó ser demasiado grande, por lo que habrá artículos separados sobre esto, así que permanezca atento y suscríbase a nuestro blog en Habré.
Fuente: habr.com