Il y a quelques jours, nous avons terminé l'un des événements les plus chargés d'émotion que nous avons eu la chance d'héberger dans le cadre du blog : un jeu de hacker en ligne avec destruction de serveur.
Les résultats ont dépassé toutes nos attentes : les participants ont non seulement participé, mais se sont rapidement organisés en une communauté bien coordonnée de 620 personnes sur Discord, qui a littéralement pris d'assaut la quête en deux jours sans interruption pour dormir.
Et voilà comment ça s'est terminé :
Comment tout a commencé et de quoi s’agit-il ?
Le jeu a commencé le 12 août lorsque nous avons posté sur le blog avec une vidéo dans laquelle un hacker en forme de crâne propose de jouer à un jeu, de détruire le serveur, de provoquer un court-circuit dans la pièce (enfin, ou un mini-incendie) et de prendre l'argent restant dans le broyeur.
C'était une quête en ligne : nous avons lancé une diffusion YouTube depuis une pièce remplie d'appareils IoT, un serveur sous le lit (qui a dû être détruit), et un aquarium a été fixé au-dessus du serveur et un poids pendait dessus. Pour rendre le jeu plus riche en action, nous avons décidé de créer une cagnotte de 200 000 roubles, que nous avons chargée dans la déchiqueteuse et que nous avons réglée pour qu'elle s'allume toutes les 60 minutes. Chaque heure, le broyeur mangeait 1000 XNUMX roubles - plus tôt les joueurs l'arrêteraient, plus ils gagneraient d'argent.
Construire cette quête était une quête en soi - nous devions manger uniquement de la nourriture et dormir plusieurs heures par jour dans la même pièce. Mais le plus étonnant a été d’observer la fuite des pensées des joueurs et leur impact émotionnel dans le processus.
Pour être honnête, l'ingéniosité des joueurs pour résoudre les énigmes a dépassé à plusieurs reprises notre modeste idée : chaque minute libre, nous lisions le chat Discord et, dans certains cas, nous pleurions littéralement de rire, découvrant ce que faisaient les joueurs et comment ils plaisantaient. le processus.
7 personnes ont travaillé sans relâche sur le projet : un backender, un spécialiste du matériel, un véritable producteur de films, un designer CG et deux coproducteurs idéologiques.
Nous vous dirons dans les articles suivants exactement comment la quête a été mise en œuvre d'un point de vue technique, mais pour l'instant je vais vous expliquer la solution : comment exactement il a fallu pirater cette salle en diffusion. En même temps, rappelons-nous la chronologie des événements, ainsi que toutes les théories folles des Illuminati du chat Discord et c'est tout.
Qu’avaient les joueurs au début du match ?
Tous les objets présents dans la pièce ont été divisés en trois catégories :
- Appareils IoT faciles à utiliser et non destinés aux jeux
- Appareils de jeu pour terminer la quête
- Entourage
Nous avons placé 8 éléments très faciles à gérer : deux lampes, une guirlande, cinq lettres FALCON, dont chacune pouvait être changée en couleur. Tout cela pouvait être activé/désactivé directement depuis le site Web et voir immédiatement le résultat sur la diffusion - nous les avons spécifiquement mis à la disposition de tous les joueurs, quel que soit leur niveau de connaissances techniques.
Tout ce qui a simplement été inclus depuis le site
Parmi les éléments de jeu importants qui étaient nécessaires pour terminer la quête, et dont l'accès n'était pas si facile à obtenir :
- Serveur avec couvercle ouvert et aquarium au-dessus
- Poids suspendu pour casser un aquarium
- Megatron 3000 - un puissant pointeur laser dirigé vers la corde qui supporte le poids
- Un ventilateur puissant qui démarrait lorsque le serveur était en charge
- Tableau à feuilles mobiles sur lequel l'identifiant et le mot de passe de Megatron ont été écrits
- Un téléphone que vous pouvez appeler et voir votre appel en direct
- Le déchiqueteur qui mangeait des billets de 1000 roubles par heure
Comment la quête a-t-elle été résolue exactement ?
Je le dis tout de suite : le cercueil s’est ouvert tout simplement.
Le but du jeu était d'arrêter le broyeur en provoquant un court-circuit dans la pièce. Pour ce faire, il fallait casser l'aquarium en y jetant un poids et remplir le serveur d'eau. Le poids était maintenu sur une corde que Megatron visait. En prenant le contrôle de Megatron, la corde pourrait être coupée. Cela a été fait en 5 étapes simples :
Étape 1. Chargez le serveur dans la salle
Par exemple, envoyer des paquets avec une commande.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaL'indice était très chargé sur .
Le même captcha qui devait être attaqué
Lorsque le serveur était chargé, sa température augmentait et cela pouvait être surveillé sur le système de surveillance ouvert directement devant la caméra. Ensuite, le ventilateur s'est allumé, ce qui a ouvert une barrière immatérielle sur le tableau à feuilles mobiles. Ensuite, le login et le mot de passe pour accéder à la page de Megatron, écrits au tableau, se sont ouverts.
Et la page de gestion Megatron elle-même peut être trouvée en vérifiant tous les certificats délivrés pour le domaine ooosokol.ru.
Sur un sous-domaine il y avait une page de contrôle Megatron. Mais il ne s'est ouvert que lorsque Megatron a reçu l'alimentation primaire.
Les joueurs sont passés par toutes ces étapes presque immédiatement dans les commentaires de la diffusion sur YouTube. Ensuite, les tâches sont devenues plus compliquées et les joueurs ont créé le serveur discord RUVDS Hack Room et y ont continué la discussion.
Étape 2 : Appliquer l’alimentation principale à Megatron
Tous les appareils intelligents contrôlés depuis le site (les mêmes lampes que les joueurs allumaient et éteignaient sans s'arrêter) avaient leurs propres identifiants.
Pour alimenter Megatron en énergie principale et en même temps l'éclairer, il était nécessaire de trouver et d'allumer un appareil caché sur la page de gestion du bureau.
Pour ce faire, il fallait regarder les identifiants des appareils et constater qu'il y a 4 appareils au total, mais que seulement 3 sont disponibles sur le site.
Lorsque le 4ème appareil a été allumé, la page Megatron est devenue disponible et le laser lui-même a été mis en surbrillance. Mais en même temps, il était impossible de tirer avec un laser, et cela Il y avait un message indiquant que le laser n'était pas encore disponible et un indice : il y avait un embouteillage dans le bureau, vous devez appeler la société de gestion et demander de l'électricité.
Indice sur la société de gestion
3. Appelez la société de gestion et demandez d'allumer Megatron
Selon l'ENT, Megatron n'a pas pu tirer car les embouteillages dans le bureau étaient supprimés. Seule la société de gestion pouvait remettre le courant, qu'il fallait contacter et identifier comme propriétaire de la SARL.
Il était facile de trouver le numéro de la société de gestion - nous l'avons inséré directement dans le pied de page.
Mais l’identification était bien plus difficile.
En appelant le numéro +74991130688, une opératrice a décroché le téléphone et, d’une voix ennuyée, a demandé l’auberge de l’entreprise et le nom complet du propriétaire. Sans cela, elle a refusé de mettre le courant et a expliqué cela par le fait qu'elle est une salle de contrôle externalisée ordinaire, qu'ils ont 2000 XNUMX clients et bureaux, et sans ces informations, il est tout simplement impossible de trouver celui dont ils ont besoin.
Cela s’est avéré être l’étape la plus difficile pour les joueurs. Il a fallu près de deux jours pour trouver le NIF correct et le nom complet du propriétaire, et moi (représenté par l'opérateur de la salle de contrôle) avons reçu plus de 400 appels pendant cette période. Le téléphone sonnait toutes les 2-3 minutes.
Les gars ont creusé comme ils ont pu. Tout a été utilisé : ils ont vidé le code source du site, recherché sur Google le propriétaire du site, Sokolov, et effectué des recherches sur les réseaux sociaux.
Ils recherchaient les numéros d'identification fiscale de différentes entreprises
Schéma de recherche presque complet
À un moment donné, ils ont même appelé avec un numéro usurpé - comme s'ils appelaient depuis le bureau de la société Sokol indiqué dans le pied de page.
Ensuite, nous avons appris combien d'entreprises portent le nom de Sokol. Presque chacune de ces sociétés a reçu des appels de joueurs, mais ce n'était rien comparé à ce que le site a vécu. , à qui nous avons acheté ce même Megatron il y a environ un mois.
Premièrement, la discorde a attaqué le support des Lasersmasters.
Ensuite, nous avons pu y trouver le compte de quelqu’un ! Alors que le soutien de Lasermasters a déjà cessé de lésiner sur les expressions.
Attention, éloignez les enfants de l'écran
En fin de compte, Lasermasters a décidé de simplement les ennuyer et leur site a planté. Tout comme nous avons réussi à démolir le site de Sokol, même si nous l'avons rapidement relevé.
Au cours de l'enquête, les gars de Discord ont même trouvé un acteur dont nous avons acheté la photo en bourse, afin qu'il joue le rôle du principal antagoniste, le propriétaire de la LLC Andrei Sokolov. Il s'est avéré qu'il s'appelle Yuri et qu'il n'a absolument aucune idée du genre de pétrin dans lequel il s'est retrouvé.
Andrey Sokolov, personnage du jeu
Youri, mannequin
Si seulement il savait comment il a forcé 600 personnes à ne pas dormir pendant deux jours...)
Ensuite, ils ont commencé à creuser spécialement pour moi, en tant qu'organisateur de la quête (qui aurait très bien pu aboutir si les gars avaient deviné pirater mes canaux de travail).
J'ai même été un peu inquiet lorsqu'ils ont nommé mon patronyme et même mon numéro d'identification fiscale. Mais j’ai été soulagé lorsque, pendant que le téléphone endommagé fonctionnait, j’ai soudainement eu un frère aîné, qui s’est soudainement révélé être le directeur technique de Habr.
Mon cher frère, qui a aussi souffert
Pendant ce temps, les suppositions devenaient de plus en plus incroyables
Et il en est venu aux théories des Illuminati.
Les théories du complot les plus juteuses concernaient Bob l'éponge, Harry Potter et le clignotement de la guirlande de diodes chinoises que nous avons placée à l'intérieur de l'unité centrale.
D'où viennent Bob l'éponge et Harry Potter, dites-vous ? Nous avons mis leurs adresses dans la page contact de Sokol et cela a donné lieu à de nombreuses spéculations dans la communauté Discord. Même si nous voulions juste rendre hommage à nos œuvres préférées de notre enfance.
La même référence sur la page ""
Et comme résultat
Il s'est avéré qu'il y avait vraiment des documents Bob l'éponge dans la série. Ils s'appelaient TIN
L’une des théories les plus complexes était que la guirlande chinoise clignotante contenait un message en code Morse.
Le scintillement a été enregistré et tenté d'être déchiffré
Une théorie plus simple est que les gars ont essayé de déterminer si l'indice était caché dans les cartes.
En chemin, nous avons été comparés à — une note injustement élevée, mais toujours agréable.
Les joueurs ont essayé l’ingénierie sociale de toutes leurs forces. Ils m'ont appelé sous le couvert du FSB, des pompiers, de Sokolov lui-même, de son ex-femme et de l'agent de sécurité qui serait assis en bas. Ils ont dit qu’un incendie s’était déclaré, que quelqu’un était coincé dans l’ascenseur et que l’histoire la plus déchirante était que le chien de l’appelant était censé être assis dans le bureau, ravagé par le feu.
Il y a eu également des tentatives de corruption
Petit à petit, mes propres mèmes ont commencé à apparaître dans le chat.
En voici quelques-uns
Pendant ce temps, les usines restaient inactives
Info-bulle
Il y avait de moins en moins d’argent dans la déchiqueteuse. Pour que le gagnant reçoive au moins quelque chose, nous avons décidé de faire un indice. En même temps, en suivant les règles du game design, faites monter la tension juste avant la finale.
Séparé Nous avons posté une vidéo sur le blog. Au début, un morceau de Fight Club était inséré en référence à Tyler Durden, qui envisageait d'insérer la 25ème image dans les films alors qu'il travaillait au cinéma.
Nous avons décidé d'appliquer la même mécanique et avons inséré un indice sur la 25ème image sur la façon de NIF correct et nom complet du propriétaire.
Après ça, les gars ont compris très vite
Étape 4. Tirez avec un laser en mode sans combat
Lorsque l'alimentation électrique était fournie par la société de gestion et après la mise sous tension des prises, Megatron s'allumait et pouvait tirer en mode test. Un jeton pour un tir test a déjà été inséré dans le formulaire de saisie.
Toutes les 25 secondes, un nouveau jeton était généré, celui-ci pouvait être utilisé pour allumer le laser pendant 10 secondes à une puissance de 10/255.
Ensuite, le laser s'est refroidi pendant 1 minute et pendant cette minute il était indisponible et n'a pas accepté de nouvelles demandes de tir.
Cette puissance était totalement insuffisante pour brûler la corde, mais n'importe quel joueur pouvait tirer depuis Megatron et voir le faisceau laser en action.
La réaction de la communauté a été plus que vigoureuse
Mais tout le monde s’est vite calmé et a réalisé que ce n’était pas la fin du jeu.
Ensuite, la communauté a commencé à réfléchir à la manière de lancer le mode combat.
idée de génie
Il y a des faux sur Discord
Nous ne savions pas qu'il y avait quelque chose d'écrit sur le pied de la table lors de l'émission
La communauté est arrivée à l'étape 4. Comprendre comment les jetons sont générés : trouvez l'essentiel et générez un jeton qui allume le laser en mode combat
Le mode de combat de Megatron est une puissance laser à 100 % à 3 watts. Cela suffit pendant 2 minutes pour brûler la corde qui retenait le poids, casser l'aquarium et inonder le serveur d'eau.
Nous avons laissé quelques indices à : à savoir le code de génération des jetons, à partir duquel on pourrait comprendre que les jetons de test et de combat sont générés à partir du même indicateur de compteur. Dans le cas d'un jeton de combat, en plus de la valeur du compteur, un sel est également utilisé, qui est presque entièrement laissé dans l'histoire de la modification de cette substance, à l'exception des deux derniers caractères.
Comme tout le monde l'a vite deviné, il était 42 heures.
Dans les commentaires de l'essentiel, il y avait une correspondance entre Andrey Sokolov et le développeur (« développeur avisé », comme l'appelaient les gars de Discord).
Dans la correspondance, Andrey a envoyé l'un des jetons de combat et le développeur a répondu que ce jeton avait été initialisé avec une valeur de compteur de 42.
Connaissant ces données, il a été possible de trier les 2 derniers symboles du sel et de découvrir effectivement que les nombres de Lost, convertis au système hexadécimal, ont été utilisés pour cela.
Ensuite, les joueurs devaient saisir la valeur du compteur (en analysant le jeton de test) et générer un jeton de combat en utilisant la valeur du compteur suivante et le sel sélectionné à l'étape précédente.
Le compteur s'incrémente simplement à chaque tir test et toutes les 25 secondes. Nous n’en avons parlé nulle part, c’était censé être une petite surprise de jeu. Les gars l'ont compris très rapidement et ont lancé le mégatron en mode combat.
Étape 5. Brûler la corde au laser
Comme il était
Tout est simple ici. L’envoi d’un jeton de combat ferait passer le laser en mode combat, et la pièce changerait et passerait en « mode catastrophe », comme nous l’appelions dans le scénario général :
- Toutes les lumières de la pièce sont éteintes
- Les boutons pour les appareils IoT sur le site Web sont devenus indisponibles
- Feux clignotants et son de sirène
- Le poids rouge était illuminé
- Un compte à rebours a commencé sur l'écran du téléviseur jusqu'à ce que le laser soit lancé en mode combat.
Nous avons donné au compte à rebours une heure et demie pour que tous ceux qui jouaient aient le temps d'allumer la diffusion et de voir la finale. Et pour cause : alors que j'attendais en retenant mon souffle le bruit d'impact et de bris de verre venant de la pièce voisine, toute l'équipe qui a construit la quête, sans dire un mot, a commencé à se rendre à la base pour voir la fin avec leur propres yeux. Ils ont simplement couru dans la pièce et ont commencé à s'embrasser.
Pendant ce temps sur Discord
Une fois le compte à rebours terminé, le laser est entré en action et en deux minutes a brûlé la corde - le poids a volé directement dans l'aquarium. Avant l'impact, un capybara fou a crié sur l'écran, levant ses petites pattes en signe de panique.
Comme toute l'équipe était réunie là-bas, nous avons lancé un petit message à tous ceux qui se sont battus pour la finale pendant deux jours sur Discord et sont allés ouvrir le champagne :
Comment a-t-on calculé le timing de lancement des vidéos publicitaires et l'envol du poids ?
Après une douzaine de tests de combustion d'une corde avec un laser, nous avons réalisé qu'il s'agissait d'une conception très peu fiable - la corde à moitié brûlée devient plus fine, sous le poids du poids elle s'étire, change d'emplacement et le laser ne peut plus couper complètement.
Nous avons donc emprunté une voie différente : nous avons dupliqué le burn-out en enveloppant la corde avec du fil nichrome. Un courant a traversé le fil, il est devenu rouge et a brûlé à travers la corde en 2 secondes environ - cela nous a permis de comprendre avec précision quand allumer le capybara hurlant, arrêter la minuterie de démarrage et démarrer la publicité :
Qu'est-ce qui n'a pas fonctionné pour nous ?
En fin de compte, une épaisse fumée était censée sortir de l'unité centrale, comme lors d'un incendie - nous avons préparé des bombes fumigènes, les avons allumées de la même manière, mais pour une raison quelconque, elles n'ont pas fonctionné (probablement à cause de l'eau).
Qui est le gagnant?
Je suis sorti vainqueur Arkadi Alekseev de Saint-Pétersbourg - il a été le premier à générer un jeton de test et a gagné l'argent restant dans la déchiqueteuse d'un montant de 134 000 roubles.
Une courte interview avec Arkady.
Parlez-nous de vous, que faites-vous au travail ?
Je suis spécialiste de la sécurité de formation, diplômé du BIT à l'ITMO. Je travaille en tant que développeur Web full stack externalisé. À l'école, j'ai participé à des concours, notamment en programmation et en mathématiques.
Comment avez-vous connu le jeu ?
Je suis allé sur Habr juste pour lire, j'ai vu l'article et je me suis intéressé.
Combien d'heures avez-vous joué lorsque vous avez rejoint ?
J'ai rejoint le soir du jour de la publication de l'article (c'est-à-dire un jour avant la fin). J'y ai passé la soirée et une bonne partie de la journée suivante.
Qu’est-ce que vous avez aimé et qu’est-ce qui n’a pas fonctionné ?
En général, j'ai tout aimé (bien sûr, j'ai gagné)), mais j'étais un peu nerveux à propos des appels. Eh bien, comme appeler et vérifier chaque version n'était pas très bon, du moins c'était gênant - j'ai compris qu'il y en avait encore plusieurs dizaines qui appelaient, la moitié d'entre eux plaisantaient et essayaient de se lancer dans l'ingénierie sociale.
Comment avez-vous trouvé comment trouver le jeton de combat pour Megatron ?
Quand je suis entré, ils avaient déjà spammé le serveur, allumé des ampoules, trouvé le mot de passe du panneau d'administration laser, toutes sortes de sous-domaines et de pages.
Il était également facile de trouver un profil sur Github et un résumé avec des commentaires. À partir de là, le processus de génération d’un jeton et d’un secret associé est évident. Dans de telles quêtes, il n'est pas nécessaire d'inventer grand-chose, à mon humble avis, car vous pouvez vous noyer dans un tas d'options pour le développement d'événements ; et par conséquent, vous devez suivre où le créateur de la quête vous pousse.
Compte tenu des sous-domaines restants et du site de test sur le tilde, il était clair qu'après avoir alimenté le laser, il serait nécessaire de sélectionner un jeton. En conséquence, le même soir, j'ai esquissé une demande approximative d'allumage du laser (basée sur 4 formulaires disponibles : 1 sur le chantier et 3 sur le test/ancien) et j'ai essayé de brutaliser avec des jetons de travail à partir de 42 (enfin, pour les imbéciles - du coup, tout y est déjà activé, et la page d'envoi du jeton sera simplement ouverte après le TIN et le nom complet).
Je ne suis pas sûr que la demande soit correcte, car je n'avais pas le temps de vérifier (après tout, il était seulement possible de vérifier que le laser était allumé), mais j'ai préparé à l'avance la recherche du jeton.
Il y avait également une logique évidente avec les websockets et la gestion des appareils dans le fichier app.js. Il y avait une allusion audacieuse à un appareil a9, lors de l'envoi de l'alimentation : vrai, auquel la prise s'est écrasée. J'ai essayé de tout lui envoyer - on ne sait jamais, il pourrait y avoir un appareil supplémentaire pour résoudre le TIN, mais sans succès.
Ensuite, j'ai fouillé le reste des fichiers d'identification à côté de ces dix, mais il y avait un appareil inconnu partout. J'ai aussi essayé de chercher toutes sortes de choses sur Google, de grimper sur [email protected], j'ai tout envoyé dans le formulaire sur la page de la liste de prix, j'ai creusé avec lasermasters, mais tout cela sans succès. Le lendemain, j'étais assis dans le chat, recherchant toutes sortes de choses sur Google, puis le sujet stego est apparu et j'ai consulté la personne stegosolve pour des images et des gifs (mais j'ai mentalement compris que 99% du temps il n'y avait rien là, puisque ce serait trop + une contradiction avec la quête principale) .
Mais à la fin, je me suis aussi assis et j'ai fouillé toutes les photos et tous les gifs pendant quelques heures. J'ai appelé plusieurs fois avec différentes options de TIN, mais cela n'a pas fonctionné. Ensuite, j'ai décidé d'y renoncer, mais ils y ont posté un indice - et il est devenu clair que le numéro d'identification fiscale (NIF) serait trouvé dans un avenir proche, et c'est ce qui s'est passé. Ensuite, soit moi, soit quelqu'un d'autre (ce n'est pas évident) avons envoyé l'alimentation : fidèle à l'appareil a9 et le laser a commencé à fonctionner, même s'il n'y avait peut-être pas de connexion et il a juste commencé à fonctionner après le TIN. En général, je suis allé dans le panneau d'administration du laser et j'ai été assez surpris, puisque le serveur lui-même a envoyé le jeton (et je me préparais déjà à le brutaliser). Il est devenu évident que le token était un token de test, puisque la diffusion + bon sens + je l'ai vérifié.
Le code contenait la logique d'envoyer un jeton fonctionnel quelque part en guise de notification, mais apparemment, soit il s'agissait d'un mauvais code, soit il était nécessaire pour d'autres parties du système. J'ai rédigé un script pour obtenir le jeton de travail actuel à partir de celui de test actuel et j'ai commencé à m'asseoir sur f5, essayant de les envoyer - cela posait des problèmes, car tout le monde appuyait constamment sur le bouton d'envoi, changeant ainsi le jeton si possible. Ensuite, le site a planté, le compteur a été réinitialisé, mais ce n'est pas la question - au bout d'un moment, j'ai envoyé un jeton fonctionnel. En théorie le compteur était 58 et токен был 449a776938f7ce4cf19f8603045dca0f au moment de l'activation, si je ne me trompe pas. C'est tout.
Ensuite, j'ai été un peu épuisé par des commentaires du genre "oui, tout cela est trivial, mais j'ai juste eu de la chance". Eh bien, si vous allez sur la page, réfléchissez une minute, écrivez un script en quelques minutes, vérifiez-le - alors oui, c'est trivial. Mais je l’ai fait en 10 à 20 secondes, puis je n’ai tout simplement pas pu envoyer le jeton pendant plusieurs minutes.
Bien sûr, vous pouvez essayer d'écrire une logique pour le récupérer et l'envoyer automatiquement, mais cela prendrait plus de temps et constituerait un gros risque, et le cloud commencerait probablement à jurer. Ce avec quoi j'ai vraiment eu de la chance, c'est la toute dernière étape - quelques algorithmes pour la vitesse + la vitesse de réaction, c'est juste le mien. S'il y avait eu une tâche directement issue du pentest, je ne serais probablement pas devenu le premier.
Mais ce n'est pas encore fini
J'ai hâte de vous parler de l'incroyable équipe qui a construit cette salle d'évasion et de toutes les solutions techniques qu'elle a proposées. Mais cet article s'est déjà avéré trop volumineux - il y aura donc des articles séparés à ce sujet, alors restez à l'écoute et abonnez-vous à notre blog sur Habré.
Source: habr.com