چند روز پیش یکی از پر احساس ترین رویدادها را که خوش شانس بودیم به عنوان بخشی از وبلاگ میزبانی کنیم - یک بازی هکر آنلاین با تخریب سرور را تکمیل کردیم.
نتایج فراتر از همه انتظارات ما بود: شرکت کنندگان نه تنها شرکت کردند، بلکه به سرعت خود را در یک جامعه کاملاً هماهنگ متشکل از 620 نفر در Discord سازماندهی کردند، که به معنای واقعی کلمه در طی دو روز بدون استراحت برای خواب، تلاش را طوفانی کرد.
چگونه همه چیز شروع شد و همه چیز درباره چیست؟
بازی از 12 آگوست شروع شد که ما در وبلاگ پست گذاشتیم
این یک جستجوی آنلاین بود: ما یک پخش یوتیوب را از اتاقی که پر از دستگاه های iot بود، یک سرور زیر تخت (که باید از بین می رفت) راه اندازی کردیم، و یک آکواریوم بالای سرور ثابت بود و وزنه ای روی آن آویزان بود. برای اکشنتر کردن بازی، تصمیم گرفتیم یک صندوق جایزه 200 روبلی ایجاد کنیم که آن را در خردکن بارگذاری کرده و هر 000 دقیقه آن را روشن کنیم. هر ساعت خردکن 60 روبل می خورد - هر چه زودتر بازیکنان آن را متوقف کنند، پول بیشتری برنده می شدند.
ساختن این جستجو به خودی خود یک تلاش بود - ما مجبور بودیم فقط غذا بخوریم و چند ساعت در روز درست در همان اتاق بخوابیم. اما شگفت انگیزترین چیز تماشای پرواز فکر بازیکنان و تأثیر احساسی آنها در این روند بود.
راستش را بخواهید، نبوغ بازیکنان در حل معماها چندین برابر از ایده ساده ما فراتر رفت: در هر دقیقه آزاد گفتگوی ناسازگاری را می خواندیم و در برخی موارد به معنای واقعی کلمه از خنده گریه می کردیم و متوجه می شدیم که بازیکنان چه می کنند و چگونه شوخی می کنند. فرآیند.
Над проектом не покладая рук трудились 7 человек: бекендер, специалист-хардващик, настоящий кинопродюсер, CG-дизайнер и два идейных вдохновителя-сопродюсера.
ما در پست های بعدی به شما خواهیم گفت که دقیقاً چگونه کوئست از نظر فنی پیاده سازی شده است ، اما فعلاً راه حل را به شما می گویم: دقیقاً چقدر لازم بود این اتاق در پخش هک شود. در عین حال، بیایید گاهشماری وقایع و همچنین تمام تئوری های دیوانه وار ایلومیناتی را از گفتگوی ناسازگاری به یاد بیاوریم و بس.
بازیکنان در ابتدای بازی چه داشتند؟
تمام اشیاء موجود در اتاق به سه دسته تقسیم می شوند:
- آسان برای استفاده، دستگاه های iot غیر بازی
- دستگاه های بازی برای تکمیل تلاش
- همراهان
ما 8 عنصر بسیار آسان برای مدیریت قرار دادیم: دو لامپ، یک حلقه گل، پنج حرف FALCON، که رنگ هر کدام قابل تغییر است. همه اینها را می توان مستقیماً از وب سایت روشن/خاموش کرد و بلافاصله نتیجه را در پخش مشاهده کرد - ما به طور خاص آنها را بدون توجه به سطح دانش فنی آنها در دسترس همه بازیکنان قرار دادیم.
همه چیزهایی که به سادگی از سایت گنجانده شده بود
از عناصر مهم بازی که برای تکمیل کوئست مورد نیاز بود و دسترسی به آنها چندان آسان نبود:
- سرور با درب باز و آکواریوم بالای آن
- وزن معلق برای شکستن آکواریوم
- Megatron 3000 - یک نشانگر لیزری قدرتمند با هدف قرار دادن طناب نگهدارنده وزن
- یک فن قدرتمند که وقتی سرور تحت بارگذاری بود شروع به کار کرد
- فلیپچارتی که روی آن لاگین و رمز عبور مگاترون نوشته شده بود
- تلفنی که می توانستید با آن تماس بگیرید و تماس خود را به صورت زنده ببینید
- خردکنی که هر ساعت اسکناس 1000 روبلی می خورد
تلاش دقیقا چگونه حل شد؟
فوراً می گویم: تابوت کاملاً ساده باز شد.
هدف از بازی این بود که با ایجاد یک اتصال کوتاه در اتاق، دستگاه خردکن را متوقف کند. برای این کار لازم بود آکواریوم را با انداختن یک وزنه درون آن شکسته و سرور را پر از آب کنید. وزنه روی بند نافی که مگاترون به سمت آن نشانه رفته بود نگه داشته شد. با در دست گرفتن کنترل مگاترون، طناب می تواند قطع شود. این کار در 5 مرحله ساده انجام شد:
مرحله 1. سرور را در اتاق بارگذاری کنید
مثلا ارسال بسته ها با دستور.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captcha
اشاره بسیار بارگذاری بود
همان کپچایی که باید مورد حمله قرار می گرفت
هنگامی که سرور بارگذاری شد، دمای آن افزایش مییابد و میتوان آن را روی سیستم مانیتورینگی که مستقیماً در مقابل دوربین باز میشود نظارت کرد. سپس فن روشن شد و پرده نوری روی فلیپچارت باز شد. سپس لاگین و رمز ورود به صفحه Megatron که روی برد نوشته شده بود باز شد.
و خود صفحه مدیریت Megatron را می توان با بررسی تمام گواهی های صادر شده برای دامنه ooosokol.ru پیدا کرد.
در یک زیر دامنه
بازیکنان تقریباً بلافاصله در نظرات پخش در YouTube همه این مراحل را طی کردند. سپس کارها پیچیده تر شد و بازیکنان سرور RUVDS Hack Room discord را ایجاد کردند و بحث را در آنجا ادامه دادند.
مرحله 2: برق اولیه را به Megatron اعمال کنید
همه دستگاههای هوشمندی که از سایت کنترل میشوند (همان لامپهایی که بازیکنان بدون توقف روشن و خاموش میکردند) دارای شناسههای خاص خود بودند.
برای تامین برق اولیه مگاترون و در عین حال روشن کردن آن، لازم بود یک دستگاه مخفی در صفحه مدیریت دفتر پیدا و روشن شود.
برای این کار باید به شناسههای دستگاه نگاه میکردید و متوجه میشوید که در کل ۴ دستگاه وجود دارد، اما تنها ۳ دستگاه در سایت موجود است.
وقتی دستگاه چهارم روشن شد، صفحه مگاترون در دسترس قرار گرفت و خود لیزر برجسته شد. اما در عین حال تیراندازی با لیزر غیرممکن بود و این کار را انجام داد
نکاتی در مورد شرکت مدیریت
3. با شرکت مدیریت تماس بگیرید و بخواهید برق مگاترون را روشن کند
به گفته گوش و حلق و بینی، مگاترون نتوانست شلیک کند زیرا ترافیک در دفتر از بین رفته بود. فقط شرکت مدیریت میتوانست برق را دوباره روشن کند، که باید با آن تماس گرفته میشد و به عنوان مالک LLC شناسایی میشد.
پیدا کردن شماره شرکت مدیریت آسان بود - ما آن را مستقیماً در پاورقی درج کردیم.
اما شناسایی بسیار دشوارتر بود.
هنگام تماس با شماره +74991130688، یک اپراتور زن تلفن را برداشت و با صدایی کسل کننده، INN شرکت و نام کامل مالک را خواست. بدون این، او از روشن کردن برق خودداری کرد و این را با این واقعیت توضیح داد که او یک اتاق کنترل معمولی برون سپاری است، آنها 2000 مشتری و دفتر دارند، و بدون این اطلاعات، یافتن مورد نیاز آنها به سادگی غیرممکن است.
این سخت ترین مرحله برای بازیکنان بود. تقریباً دو روز طول کشید تا TIN صحیح و نام کامل مالک پیدا شود و من (با نمایندگی اپراتور اتاق کنترل) در این مدت بیش از 400 تماس دریافت کردم. تلفن هر 2-3 دقیقه زنگ می خورد.
بچه ها به بهترین شکل ممکن حفاری کردند. همه چیز مورد استفاده قرار گرفت: آنها کد منبع سایت را حذف کردند، مالک سایت، سوکولوف را در گوگل جستجو کردند و در شبکه های اجتماعی جستجو کردند.
آنها به دنبال شماره شناسایی مالیاتی شرکت های مختلف بودند
طرح جستجوی تقریبا کامل
حتی در برخی موارد با یک شماره جعلی تماس گرفتند - انگار از دفتر شرکت سوکول که در پاورقی ذکر شده تماس می گرفتند.
سپس فهمیدیم که چند شرکت Sokol نام دارند. تقریباً هر یک از این شرکتها تماسهایی از بازیکنان دریافت میکردند، اما این در مقایسه با آنچه سایت تجربه میکرد چیزی نبود
ابتدا، اختلاف به پشتیبانی Lasersmasters حمله کرد.
سپس توانستیم حساب شخصی را در آنجا پیدا کنیم! در حالی که پشتیبانی Lasermasters قبلاً از عبارات کوتاهی کرده است.
احتیاط کنید، کودکان را از صفحه نمایش دور نگه دارید
در نهایت، Lasermasters تصمیم گرفت فقط آنها را آزار دهد و سایت آنها از کار افتاد. همانطور که ما موفق شدیم سایت سوکول را از بین ببریم، اگرچه به سرعت آن را بالا بردیم.
در طی تحقیقات ، بچه های اختلاف حتی بازیگری را پیدا کردند که عکس او را از سهام خریدیم تا او نقش آنتاگونیست اصلی ، صاحب LLC آندری سوکولوف را بازی کند. معلوم شد که نام او یوری است و او مطلقاً نمی داند که در چه نوع آشفتگی قرار گرفته است.
آندری سوکولوف، شخصیت بازی
یوری، مدل
کاش می دانست چطور 600 نفر را مجبور کرد دو روز نخوابند...)
Потом копать уже начали конкретно под меня, как под организатора квеста (что вполне могло бы закончиться успехом, если бы ребята догадались взломать мои рабочие каналы).
حتی وقتی نام پدر و حتی شماره شناسایی مالیات دهنده ام را نام بردند، کمی نگران شدم. اما وقتی تلفن آسیب دیده کار می کرد، ناگهان یک برادر بزرگتر پیدا کردم که ناگهان معلوم شد مدیر فنی هابر است.
برادر عزیزم که او هم زجر کشید
در همین حال، حدس ها بیش از پیش باورنکردنی می شد
و به نظریه های ایلومیناتی رسید.
آبدارترین تئوری های توطئه مربوط به باب اسفنجی، هری پاتر و چشمک زدن حلقه دیود چینی بود که در داخل واحد سیستم قرار دادیم.
شما می گویید باب اسفنجی و هری پاتر از کجا هستند؟ ما آدرس آنها را در صفحه تماس سوکول قرار دادیم و این باعث گمانه زنی های زیادی در جامعه اختلاف شد. اگرچه ما فقط می خواستیم به کارهای مورد علاقه دوران کودکی خود ادای احترام کنیم.
همان مرجع در صفحه "
و در نتیجه
معلوم شد که واقعاً اسناد باب اسفنجی در این سریال وجود دارد. آنها به عنوان TIN نامیده می شدند
یکی از پیچیده ترین تئوری ها این بود که حلقه چینی چشمک زن حاوی پیامی به کد مورس است.
سوسو زدن ضبط شد و سعی شد رمزگشایی شود
یک نظریه ساده تر این است که بچه ها سعی کردند بفهمند که آیا سرنخ در کارت ها پنهان شده است یا خیر.
در طول مسیر با ما مقایسه می شد
بازیکنان با تمام وجود مهندسی اجتماعی را امتحان کردند. آنها من را تحت پوشش FSB، آتش نشان ها، خود سوکولوف، همسر سابقش و نگهبان امنیتی که گفته می شود در طبقه پایین نشسته است، صدا کردند. گفتند آتش شروع شده، یک نفر در آسانسور گیر کرده است و دلخراش ترین ماجرا این است که سگ تماس گیرنده ظاهراً در دفتر نشسته و در آتش سوخته است.
همچنین تلاش هایی برای رشوه خواری صورت گرفت
کم کم، میم های خودم در چت ظاهر شدند.
اینجا یک زوج هستند
در این میان کارخانه ها بیکار ایستادند
اشاره
پول در خردکن کمتر و کمتر می شد. برای اینکه برنده حداقل چیزی بدست آورد، تصمیم گرفتیم اشاره ای کنیم. در عین حال، با رعایت قوانین طراحی بازی، درست قبل از فینال، تنش را بالا ببرید.
جداگانه، مجزا
ما تصمیم گرفتیم که همان مکانیک را اعمال کنیم و در فریم 25 راهنمایی در مورد نحوه انجام آن درج کردیم
بعد از آن بچه ها خیلی سریع متوجه شدند
مرحله 4. یک لیزر در حالت غیر جنگی شلیک کنید
هنگامی که برق توسط شرکت مدیریت تامین شد و پس از روشن شدن دوشاخه ها، مگاترون روشن شد و می توانست در حالت تست شلیک کند. یک نشانه برای یک عکس آزمایشی قبلاً در فرم ورودی درج شده است.
هر 25 ثانیه یک توکن جدید تولید میشد که میتوان از آن برای روشن کردن لیزر به مدت 10 ثانیه با توان 10/255 استفاده کرد.
سپس لیزر به مدت 1 دقیقه خنک شد و در این دقیقه از دسترس خارج شد و درخواست جدید برای شلیک را نپذیرفت.
این قدرت برای سوزاندن طناب کاملاً ناکافی بود، اما هر بازیکنی میتوانست از مگاترون شلیک کند و پرتو لیزر را در عمل ببیند.
واکنش جامعه بیش از حد شدید بود
اما همه به سرعت آرام شدند و متوجه شدند که این پایان بازی نیست.
سپس جامعه شروع به کشف نحوه راه اندازی حالت مبارزه کرد
تقلبی در اختلاف وجود دارد
ما نمی دانستیم که در پخش روی پای میز چیزی نوشته شده است
جامعه به مرحله 4 رسیده است. درک نحوه تولید توکن ها: اصل مطلب را پیدا کنید و رمزی تولید کنید که لیزر را در حالت مبارزه روشن می کند.
حالت رزمی مگاترون 100% قدرت لیزر با 3 وات است. این برای 2 دقیقه کافی است تا از طریق طنابی که وزن را نگه می دارد بسوزد، آکواریوم را بشکند و سرور را پر از آب کند.
ما چند نکته را به جا گذاشته ایم
همانطور که همه به سرعت حدس زدند، 42 بود
در نظرات اصل مطلب مکاتباتی بین آندری سوکولوف و توسعه دهنده ("توسعه دهنده عاقل"، همانطور که بچه های اختلاف او را نامیدند) وجود داشت.
در مکاتبات، آندری یکی از نشانه های رزمی را ارسال کرد و توسعه دهنده پاسخ داد که این توکن با مقدار شمارنده 42 مقداردهی اولیه شده است.
با دانستن این داده ها، می توان 2 نماد آخر نمک را مرتب کرد و در واقع متوجه شد که اعداد Lost که به سیستم هگزادسیمال تبدیل شده اند، برای آن استفاده شده است.
سپس بازیکنان باید مقدار شمارنده (با تجزیه و تحلیل نشانه تست) را می گرفتند و با استفاده از مقدار شمارنده بعدی و نمک انتخاب شده در مرحله قبل، یک نشانه مبارزه تولید می کردند.
شمارنده به سادگی با هر ضربه آزمایشی و هر 25 ثانیه افزایش می یابد. ما جایی در این مورد ننوشتیم، قرار بود یک سورپرایز بازی کوچک باشد. بچه ها خیلی سریع متوجه شدند و مگاترون را در حالت جنگی راه اندازی کردند.
مرحله 5. طناب را با لیزر بسوزانید
چطور بود؟
اینجا همه چیز ساده است. ارسال یک نشانه رزمی، لیزر را به حالت جنگی تبدیل میکند و اتاق تغییر میکند و به حالت فاجعه میرود، همانطور که در سناریوی کلی آن را نامیدیم:
- تمام چراغ های اتاق خاموش شد
- دکمههای دستگاههای iot در وبسایت از دسترس خارج شدند
- چراغ های چشمک زن و صدای آژیر
- وزن قرمز روشن شد
- شمارش معکوس روی صفحه تلویزیون شروع شد تا لیزر به حالت مبارزه راه اندازی شود.
یک ساعت و نیم به شمارش معکوس اختصاص دادیم تا همه کسانی که بازی کردند وقت داشته باشند پخش را روشن کنند و فینال را ببینند. و دلیل موجه: در حالی که من با نفس بند آمده منتظر صدای ضربه و شکستن شیشه از اتاق بعدی بودم، تمام تیم سازنده کوئست، بدون اینکه حرفی بزنند، شروع به رفتن به پایگاه کردند تا پایان را با خود ببینند. چشمان خود آنها فقط به داخل اتاق دویدند و شروع به در آغوش گرفتن کردند.
در همین حال در اختلاف
پس از پایان شمارش معکوس، لیزر وارد عمل شد و در عرض دو دقیقه از طریق طناب سوخت - وزن مستقیماً به داخل آکواریوم پرواز کرد. قبل از برخورد، یک کاپیبارای دیوانه روی صفحه فریاد زد و پنجه های کوچک خود را با وحشت بالا آورد.
از آنجایی که تمام تیم در آنجا جمع شده بودند، یک پیام کوچک به همه کسانی که دو روز برای فینال جنگیدند و برای باز کردن شامپاین رفتند شلیک کردیم:
Как мы просчитали время запуска рекламных видеороликов и полёт гири?
پس از ده ها آزمایش سوزاندن یک طناب با لیزر، متوجه شدیم که این یک طراحی بسیار غیر قابل اعتماد است - طناب نیمه سوخته نازک تر می شود، تحت وزن وزنی که کشیده می شود، مکان را تغییر می دهد و لیزر دیگر نمی تواند آن را برش دهد. آن را به طور کامل
بنابراین، ما مسیر متفاوتی را در پیش گرفتیم: با پیچیدن طناب با نخ نیکروم، فرسودگی را تکرار کردیم. جریانی از نخ عبور کرد، داغ شد و در عرض 2 ثانیه از طناب سوخت - این به ما درک دقیقی از زمان روشن کردن کاپیبارای جیغ، متوقف کردن تایمر شروع و شروع تبلیغات داد:
چه چیزی برای ما درست نشد؟
در نهایت قرار بود دود غلیظ از واحد سیستم خارج شود، مانند آتش - ما بمب های دود را آماده کردیم، آنها را به همان روش روشن کردیم، اما به دلایلی (احتمالا به دلیل آب) کار نکردند.
برنده کیه؟
برنده بیرون آمد آرکادی آلکسیف از سن پترزبورگ - او اولین کسی بود که یک نشانه آزمایشی تولید کرد و پول باقی مانده را در خردکن به مبلغ 134 روبل برد.
مصاحبه کوتاه با آرکادی
از خودتان بگویید، در محل کار چه می کنید؟
من یک متخصص امنیت با آموزش هستم و فارغ التحصیل BIT در ITMO هستم. من به عنوان یک توسعه دهنده وب تمام پشته برون سپاری کار می کنم. در مدرسه در مسابقاتی از جمله برنامه نویسی و ریاضیات شرکت کردم.
چگونه از بازی مطلع شدید؟
من فقط برای خواندن به هابر رفتم، مقاله را دیدم و علاقه مند شدم.
وقتی عضو شدید چند ساعت بازی کردید؟
من در عصر روز انتشار مقاله (یعنی یک روز قبل از پایان) به آن پیوستم. عصر و بخش خوبی از روز بعد را گذراندم.
چه چیزی را دوست داشتید و چه چیزی را دوست نداشتید؟
در کل همه چیز را دوست داشتم (البته برنده شدم)) اما از تماس ها کمی عصبی بودم. خوب، مثلاً، تماس گرفتن و بررسی هر نسخه به نوعی خیلی خوب نبود، حداقل ناخوشایند بود - فهمیدم که هنوز چندین ده نفر از آنها تماس می گیرند، نیمی از آنها شوخی می کردند و سعی می کردند در مهندسی اجتماعی شرکت کنند.
چگونه متوجه شدید که چگونه نشانه نبرد برای مگاترون را پیدا کنید؟
وقتی وارد شدم، آنها قبلاً سرور را اسپم کرده بودند، لامپها را فشار داده بودند، رمز عبور پنل مدیریت لیزر، انواع زیر دامنهها و صفحات را پیدا کرده بودند.
همچنین یافتن یک نمایه در Github و یک اصل با نظرات آسان بود. از آنجا، روند تولید یک رمز و یک راز برای آن آشکار است. در چنین ماموریت هایی نیازی به اختراع زیاد نیست، IMHO، زیرا می توانید در مجموعه ای از گزینه ها برای توسعه رویدادها غرق شوید. و بر این اساس باید دنبال کنید که خالق کوئست شما را به کجا هل می دهد.
با در نظر گرفتن ساب دامنه های باقیمانده و محل آزمایش روی tilde، مشخص بود که پس از روشن کردن لیزر، باید یک توکن انتخاب شود. بر این اساس، همان شب یک درخواست تقریبی برای روشن کردن لیزر (بر اساس 4 فرم موجود: 1 در محل کار و 3 در آزمایش/قدیمی) ترسیم کردم و سعی کردم با نشانههای کار از 42 شروع کنم (خوب، برای احمق - ناگهان همه چیز از قبل فعال شده است و صفحه با ارسال نشانه به سادگی پس از TIN و نام کامل باز می شود).
من مطمئن نیستم که درخواست درست باشد، زیرا زمانی برای بررسی وجود نداشت (در نهایت، فقط می توان بررسی کرد که لیزر روشن است)، اما من از قبل برای جستجوی نشانه آماده شدم.
همچنین منطق آشکاری با سوکتهای وب و مدیریت دستگاه در فایل app.js وجود داشت. هنگام ارسال برق، اشارهای جسورانه به یک دستگاه a9 وجود داشت: درست است که سوکت در آن خراب شده است. من سعی کردم همه چیز را به آن بفرستم - هرگز نمی دانید، ممکن است یک دستگاه اضافی برای حل TIN وجود داشته باشد، اما بدون موفقیت.
بعد بقیه فایل های شناسنامه ای را که در کنار آن ده تا بود جستجو کردم، اما یک دستگاه ناشناس همه جا بود. من همچنین سعی کردم همه چیز را در گوگل جستجو کنم، بالا بروم [ایمیل محافظت شده]، همه چیز را به شکل صفحه لیست قیمت ارسال کرد، با لیزر مسترها حفاری انجام داد، اما همه بدون موفقیت. روز بعد در چت نشسته بودم و همه چیز را در گوگل جستجو می کردم، سپس موضوع stego مطرح شد و با شخص stegosolve برای عکس و گیف مشورت کردم (اما از نظر ذهنی فهمیدم که در 99٪ موارد چیزی وجود ندارد، زیرا این خیلی زیاد خواهد بود + یک تناقض با خط جستجوی اصلی).
اما در نهایت من هم نشستم و تمام عکس ها و گیف ها را چند ساعتی زیر و رو کردم. من چند بار دیگر با گزینه های TIN مختلف تماس گرفتم، اما کار نکرد. سپس تصمیم گرفتم آن را رها کنم، اما آنها یک اشاره را در آنجا ارسال کردند - و مشخص شد که شماره شناسایی مالیات دهندگان در آینده نزدیک پیدا خواهد شد، همان چیزی که اتفاق افتاد. سپس من یا شخص دیگری (مشخص نیست) برق را ارسال کردیم: به دستگاه a9 صادق است و لیزر شروع به کار کرد، اگرچه ممکن است اتصالی وجود نداشته باشد و فقط بعد از TIN شروع به کار کرد. به طور کلی ، من وارد پنل مدیریت لیزر شدم و کاملاً شگفت زده شدم ، زیرا خود سرور رمز را ارسال کرد (و من قبلاً در حال آماده شدن برای بروت بودم). مشخص شد که توکن آزمایشی است، زیرا پخش + عقل سلیم + آن را بررسی کردم.
کد حاوی منطق ارسال یک توکن کار به جایی به عنوان اعلان بود، اما ظاهراً یا کد اشتباهی بود یا برای سایر بخشهای سیستم مورد نیاز بود. من یک اسکریپت برای به دست آوردن نشانه کار فعلی از آزمایش فعلی تهیه کردم و شروع به نشستن روی f5 کردم و سعی کردم آنها را ارسال کنم - در این مورد مشکلاتی وجود داشت ، زیرا همه دائماً دکمه ارسال را فشار می دادند ، بنابراین در صورت امکان توکن را تغییر می دادند. سپس سایت از کار افتاد، شمارنده بازنشانی شد، اما این موضوع نیست - پس از مدتی یک رمز کار ارسال کردم. در تئوری شمارنده 58 و بود токен был 449a776938f7ce4cf19f8603045dca0f در زمان فعالسازی اگر اشتباه نکنم. همین.
سپس از کامنتهایی مانند «بله، همه چیز بیاهمیت است، اما من خوش شانس بودم» کمی خسته شدم. خوب، اگر به صفحه رفتید، یک دقیقه فکر کنید، چند دقیقه دیگر یک اسکریپت بنویسید، آن را بررسی کنید - بله، بی اهمیت است. اما من این کار را در 10-20 ثانیه انجام دادم، و سپس نتوانستم توکن را برای چند دقیقه ارسال کنم.
البته، میتوانید منطقی بنویسید تا آن را بردارید و بهطور خودکار ارسال کنید، اما این کار بیشتر طول میکشد و ریسک بزرگی است، به علاوه ابر احتمالا شروع به فحش دادن میکند. چیزی که من واقعاً با آن خوش شانس بودم آخرین مرحله بود - چند الگوریتم برای سرعت + سرعت واکنش، این فقط مال من است. اگر مستقیماً از پنست وظیفه ای وجود داشت، به احتمال زیاد اولین نفر نمی شدم.
اما هنوز تمام نشده است
من نمی توانم صبر کنم تا در مورد تیم شگفت انگیزی که این اتاق فرار را ساخته اند و همه راه حل های مهندسی که به دست آورده اند بگویم. اما این پست قبلاً خیلی بزرگ بوده است - بنابراین مقالات جداگانه ای در این مورد وجود خواهد داشت، بنابراین با ما همراه باشید و در وبلاگ ما در Habré مشترک شوید.
منبع: www.habr.com