Hai un par de días completamos un dos eventos máis cargados de emocións que tivemos a sorte de organizar como parte do blog: un xogo de hackers en liña con destrución de servidores.
Os resultados superaron todas as nosas expectativas: os participantes non só participaron, senón que se organizaron rapidamente nunha comunidade ben coordinada de 620 persoas en Discord, que literalmente levou a misión por asalto en dous días sen descansar para durmir.
E así rematou:
Como comezou todo e de que se trata?
O xogo comezou o 12 de agosto cando publicamos no blog cun vídeo no que un hacker en forma de caveira se ofrece a xogar, destruír o servidor, provocar un curtocircuíto na sala (ben, ou un mini-incendio) e levar o diñeiro restante na trituradora.
Foi unha procura en liña: lanzamos unha emisión de YouTube desde unha sala que estaba chea de dispositivos iot, un servidor debaixo da cama (que tivo que ser destruído) e un acuario fixouse encima do servidor e un peso colgaba sobre el. Para facer o xogo máis cheo de acción, decidimos facer un fondo de premios de 200 rublos, que cargamos na trituradora e acendemos cada 000 minutos. Cada hora, a trituradora comía 60 rublos: canto antes o parasen os xogadores, máis diñeiro gañarían.
Construír esta misión foi unha misión en si mesma: tiñamos que comer só comida e durmir varias horas ao día na mesma habitación. Pero o máis sorprendente foi ver o voo de pensamento dos xogadores e o seu impacto emocional no proceso.
Sinceramente, o enxeño dos xogadores para resolver os enigmas superou moitas veces a nosa modesta idea: cada minuto libre lemos o chat de discordia e nalgúns casos literalmente choramos de risa, descubrindo o que facían os xogadores e como bromeaban. o proceso.
7 persoas traballaron arreo no proxecto: un backender, un especialista en hardware, un produtor de cine real, un deseñador de CG e dous coprodutores ideolóxicos.
Contarémosche nas seguintes publicacións exactamente como se implementou a misión desde o punto de vista técnico, pero de momento vouche dicir a solución: como foi preciso piratear esta sala na emisión. Ao mesmo tempo, lembremos a cronoloxía dos acontecementos, así como todas as tolas teorías Illuminati do chat de discordia e xa está.
Que tiñan os xogadores ao comezo do partido?
Todos os obxectos da sala dividíronse en tres categorías:
- Dispositivos iot fáciles de usar que non son para xogos
- Dispositivos de xogo para completar a misión
- Séquito
Colocamos 8 elementos moi fáciles de manexar: dúas lámpadas, unha guirnalda, cinco letras FALCON, cada unha delas que se podía cambiar de cor. Todo isto podería activarse/desactivarse directamente desde o sitio web e ver inmediatamente o resultado na emisión.
Todo o que simplemente se incluíu desde o sitio
Dos elementos importantes do xogo que eran necesarios para completar a misión e o acceso aos que non foi tan fácil de conseguir:
- Servidor con tapa aberta e acuario por riba
- Peso suspendido para romper un acuario
- Megatron 3000: un poderoso punteiro láser dirixido á corda que sostén o peso
- Un poderoso ventilador que comezou cando o servidor estaba baixo carga
- Rotafolio no que se escribiu o inicio de sesión e o contrasinal de Megatron
- Un teléfono ao que podes chamar e ver a túa chamada en directo
- A trituradora que comía billetes de 1000 rublos por hora
Como se resolveu exactamente a misión?
Vou dicir de inmediato: o cofre abriuse de xeito sinxelo.
O obxectivo do xogo era parar a trituradora provocando un curtocircuíto na sala. Para iso, foi necesario romper o acuario lanzando un peso nel e encher o servidor de auga. O peso suxeitouse nun cordón ao que apuntaba Megatron. Ao tomar o control de Megatron, a corda podería cortarse. Isto fíxose en 5 pasos sinxelos:
Paso 1. Carga o servidor na sala
Por exemplo, enviar paquetes cun comando.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaA pista estaba moi cargada en .
O mesmo captcha que había que atacar
Cando se cargaba o servidor, a súa temperatura aumentaba e podíase controlar no sistema de vixilancia aberto directamente diante da cámara. Entón o ventilador acendeu, o que abriu unha cortina de luz no rotafolio. Entón abriuse o inicio de sesión e o contrasinal para acceder á páxina de Megatron, escritos no encerado.
E a páxina de xestión de Megatron pódese atopar comprobando todos os certificados emitidos para o dominio ooosokol.ru.
Nun subdominio había unha páxina de control de Megatron. Pero non se abriu ata que Megatron recibiu enerxía primaria.
Os xogadores pasaron por todas estas etapas case de inmediato nos comentarios da emisión en YouTube. Entón as tarefas complicáronse e os xogadores crearon o servidor de discordia RUVDS Hack Room e continuaron a discusión alí.
Paso 2: Aplique a potencia primaria a Megatron
Todos os dispositivos intelixentes controlados desde o sitio (as mesmas lámpadas que os xogadores prendían e apagaban sen parar) tiñan os seus propios identificadores.
Para subministrar enerxía primaria a Megatron e ao mesmo tempo iluminalo, foi necesario atopar e acender un dispositivo oculto na páxina de xestión da oficina.
Para iso, tivo que mirar os identificadores dos dispositivos e observar que hai 4 dispositivos en total, pero só 3 están dispoñibles no sitio.
Cando se acendeu o cuarto dispositivo, a páxina de Megatron quedou dispoñible e resaltouse o propio láser. Pero, ao mesmo tempo, era imposible disparar un láser, e iso Houbo unha mensaxe de que o láser aínda non estaba dispoñible e unha pista: había un atasco na oficina, cómpre chamar á empresa de xestión e pedir enerxía.
Suxestión sobre a empresa de xestión
3. Chame á empresa de xestión e pídelle que se active a enerxía de Megatron
Segundo o ENT, Megatron non puido disparar porque os atascos na oficina quedaron eliminados. Só a empresa de xestión puido volver a conectar a enerxía, que tivo que ser contactada e identificada como a propietaria da LLC.
Foi doado atopar o número da empresa de xestión: introducímolo directamente no pé de páxina.
Pero a identificación foi moito máis difícil.
Ao chamar ao número +74991130688, unha operadora colleu o teléfono e con voz aburrida pediu a INN da empresa e o nome completo do propietario. Sen isto, negouse a conectar a luz e explicouno polo feito de que é unha sala de control subcontratada ordinaria, teñen 2000 clientes e oficinas, e sen esta información é simplemente imposible atopar a que necesitan.
Esta resultou ser a etapa máis difícil para os xogadores. Tardaron case dous días en atopar o TIN correcto e o nome completo do propietario, e eu (representado polo operador da sala de control) recibín máis de 400 chamadas durante este tempo. O teléfono soaba cada 2-3 minutos.
Os rapaces cavaron como puideron. Utilizouse de todo: destruíron o código fonte do sitio, buscaron en Google o propietario do sitio Sokolov e buscaron nas redes sociais.
Buscaban números de identificación fiscal de distintas empresas
Esquema de busca case completo
Nalgún momento incluso chamaron cun número falsificado, coma se chamasen dende a oficina da empresa Sokol que aparece no pé de páxina.
Entón soubemos cantas empresas se chaman Sokol. Case todas estas empresas recibiron chamadas de xogadores, pero isto non foi nada en comparación co que experimentou o sitio , a quen realmente compramos ese mesmo Megatron hai aproximadamente un mes.
En primeiro lugar, a discordia atacou o apoio de Lasersmasters.
Entón puidemos atopar alí a conta de alguén! Aínda que o apoio de Lasermasters xa deixou de escatimar en expresións.
Precaución, mantén os nenos lonxe da pantalla
Ao final, Lasermasters decidiu simplemente molestalos e o seu sitio fallou. Así como conseguimos derrubar o sitio de Sokol, aínda que axiña o levantamos.
Durante a investigación, os mozos da discordia atoparon ata un actor, cuxa foto compramos en accións, para que interpretase o papel do principal antagonista, o propietario da LLC Andrei Sokolov. Resultou que o seu nome é Yuri e non ten absolutamente ningunha idea en que tipo de lío se meteu.
Andrey Sokolov, personaxe do xogo
Yuri, modelo
Se soubese como obrigou a 600 persoas a non durmir durante dous días...)
Entón comezaron a cavar especialmente para min, como o organizador da misión (que ben podería ter éxito se os rapaces pensaran en piratear as miñas canles de traballo).
Mesmo preocupeime un pouco cando puxeron o meu patronímico e ata o meu Número de Identificación Fiscal. Pero aliviouse cando, mentres o teléfono danado funcionaba, tiven de súpeto un irmán maior, que de súpeto resultou ser o director técnico de Habr.
Meu querido irmán, que tamén sufriu
Mentres tanto, as suposicións facíanse cada vez máis incribles
E chegou ás teorías Illuminati.
As teorías de conspiración máis suculentas concernían a Bob Esponja, Harry Potter e o parpadeo da guirnalda de diodos chinés que colocamos dentro da unidade do sistema.
De onde son Bob Esponja e Harry Potter, dis? Puxemos os seus enderezos na páxina de contacto de Sokol e isto deu lugar a moitas especulacións na comunidade de discordia. Aínda que só queriamos render homenaxe ás nosas obras favoritas da infancia.
A mesma referencia na páxina ""
E como resultado
Resultou que realmente hai documentos de Bob Esponja na serie. Chamábanse como TIN
Unha das teorías máis complexas era que a guirlanda chinés parpadeante contiña unha mensaxe en código Morse.
O parpadeo foi gravado e tentou ser descifrado
Unha teoría máis sinxela é que os mozos tentaron descubrir se a pista estaba oculta nas cartas.
Polo camiño comparáronnos - unha valoración inmerecidamente alta, pero aínda agradable.
Os xogadores probaron a enxeñaría social con todas as súas forzas. Chamáronme baixo o pretexto do FSB, os bombeiros, o propio Sokolov, a súa ex-muller e o garda de seguridade que supostamente está sentado no piso de abaixo. Dixeron que se iniciou un incendio, alguén quedou atrapado no ascensor e a historia máis desgarradora foi que o can do interlocutor supostamente estaba sentado no despacho, envolto polo lume.
Tamén houbo intentos de suborno
Lentamente, os meus propios memes comezaron a aparecer no chat.
Aquí tedes un par
Mentres tanto, as fábricas estaban ociosas
Tipo de información
Cada vez había menos cartos na trituradora. Para que o gañador obteña polo menos algo, decidimos facer unha pista. Ao mesmo tempo, seguindo as regras do deseño do xogo, aumenta a tensión xusto antes do final.
Separar Publicamos un vídeo no blog. Ao principio, inseriuse unha peza de Fight Club como referencia a Tyler Durden, que estaba pensando en inserir o fotograma 25 nas películas mentres traballaba nos cines.
Decidimos aplicar a mesma mecánica e inserimos unha suxestión no cadro 25 sobre como facelo NIF correcto e nome completo do propietario.
Despois diso, os rapaces decatáronse moi rápido
Paso 4. Dispara cun láser en modo non de combate
Cando a empresa de xestión proporcionou enerxía e despois de acenderse os enchufes, Megatron acendeu e puido disparar no modo de proba. Xa se inseriu unha ficha para unha toma de proba no formulario de entrada.
Cada 25 segundos xerábase un novo token, este podería usarse para acender o láser durante 10 segundos a unha potencia 10/255
A continuación, o láser arrefriouse durante 1 minuto e durante este minuto non estivo dispoñible e non aceptou novas solicitudes de disparo.
Este poder era completamente insuficiente para queimar a corda, pero calquera xogador podía disparar desde Megatron e ver o raio láser en acción.
A reacción da comunidade foi máis que vigorosa
Pero todos axiña se calmaron e decatáronse de que este non era o final do partido.
Entón a comunidade comezou a descubrir como lanzar o modo de combate
chuvia de ideas
Hai falsificacións en discordia
Non sabiamos que había algo escrito na pata da mesa na emisión
A comunidade chegou ao paso 4. Entender como se xeran as fichas: busca a esencia e xera unha ficha que acende o láser no modo de combate.
O modo de combate de Megatron é 100% de potencia láser a 3 watts. Isto é suficiente durante 2 minutos para queimar a corda que sostivo o peso, romper o acuario e inundar o servidor con auga.
Deixamos algunhas pistas : é dicir, o código de xeración de fichas, a partir do cal se podería entender que as fichas de proba e de combate se xeran en función do mesmo indicador de contador. No caso dunha ficha de combate, ademais do valor do contador, tamén se utiliza un sal, que queda case por completo na historia do cambio desta esencia, a excepción dos dous últimos personaxes.
Como todos adiviñaron rapidamente, eran 42
Nos comentarios da esencia houbo unha correspondencia entre Andrey Sokolov e o programador ("desenvolvedor sabio", como o chamaban os mozos de discordia).
Na correspondencia, Andrey enviou unha das fichas de combate e o desenvolvedor respondeu que esta ficha foi inicializada cun valor de contador de 42.
Coñecendo estes datos, foi posible ordenar os 2 últimos símbolos do sal e realmente descubrir que os números de Lost, convertidos ao sistema hexadecimal, foron utilizados para iso.
A continuación, os xogadores tiñan que capturar o valor do contador (analizando a ficha de proba) e xerar unha ficha de combate usando o seguinte valor de contador e o sal seleccionado no paso anterior.
O contador simplemente aumentou con cada disparo de proba e cada 25 segundos. Non escribimos sobre isto en ningún lado, suponía que era unha sorpresa de xogo pequeno. Os mozos decatáronse moi rápido e lanzaron o megatron en modo de combate.
Paso 5. Queimar a corda con láser
Como foi
Todo é sinxelo aquí. O envío dunha ficha de combate convertería o láser en modo de combate e a sala cambiaría e pasaría ao "modo desastre", como o chamamos no escenario xeral:
- Todas as luces da sala apagáronse
- Os botóns para dispositivos iot do sitio web non estaban dispoñibles
- Luces intermitentes e son de serea
- O peso vermello estaba iluminado
- Comezou unha conta atrás na pantalla do televisor ata que o láser foi lanzado ao modo de combate.
Demos hora e media a conta atrás para que todos os que xogaran tivesen tempo de prender a emisión e ver a final. E por unha boa razón: mentres esperaba sen alento o ruído do impacto e a rotura dos cristais da sala do lado, todo o equipo que construíu a misión, sen dicir palabra, comezou a ir á base para ver o final co seu final. os propios ollos. Só correron ao cuarto e comezaron a abrazarse.
Mentres tanto en discordia
Despois de que rematou a conta atrás, o láser entrou en acción e en dous minutos queimou a corda: o peso voou directamente ao acuario. Antes do impacto, un carpincho tolo berrou na pantalla, levantando as súas pequenas patas en pánico.
Xa que alí estaba todo o equipo reunido, lanzamos unha pequena mensaxe a todos os que loitaron pola final durante dous días en discordia e foron abrir o champaña:
Como calculamos o momento do lanzamento de vídeos publicitarios e o voo do peso?
Despois dunha ducia de probas de queimar unha corda cun láser, decatámonos de que este é un deseño moi pouco fiable: a corda medio queimada faise máis delgada, baixo o peso do peso que estira, cambia de localización e o láser xa non pode cortar. completamente.
Por iso, fixemos unha ruta diferente: duplicamos a queimadura envolvendo a corda con fío de nicromo. Pasou unha corrente polo fío, quentouse ao vermello e queimou a corda nuns 2 segundos; isto deunos unha comprensión precisa de cando acender o carpincho berrando, deter o temporizador de inicio e iniciar o comercial:
Que non nos funcionou?
Ao final, debía saír fume espeso da unidade do sistema, como nun incendio: preparamos bombas de fume, prendémolas do mesmo xeito, pero por algún motivo non funcionaron (probablemente debido á auga).
Quen é o gañador?
Saíu o gañador Arkadi Alekseev de San Petersburgo - foi o primeiro en xerar un token de proba e gañou o diñeiro restante na trituradora por un importe de 134 rublos.
Unha pequena entrevista con Arkady.
Fálanos de ti, que fas no traballo?
Son especialista en seguridade de formación, graduado en BIT en ITMO. Traballo como desenvolvedor web full stack externalizado. Na escola concorrín a concursos, incluso en programación e matemáticas.
Como te enteraste do xogo?
Fun a Habr só para ler, ver o artigo e interesarme.
Cantas horas xogaches cando te uniste?
Sumeime á noite do día en que se publicou o artigo (é dicir, un día antes do final). Pasei a noite e boa parte do día seguinte.
Que che gustou e que non?
En xeral, gustoume todo (por suposto, gañei)), pero estaba un pouco nervioso polas chamadas. Ben, como, chamar e comprobar cada versión de algunha maneira non era moi bo, polo menos era incómodo: entendín que aínda había varias ducias deles chamando, a metade deles bromeaban e intentaban dedicarse á enxeñería social.
Como descubriches como atopar a ficha de batalla para Megatron?
Cando entrei, xa enviaran spam ao servidor, meteron bombillas, atoparan o contrasinal do panel de administración láser, todo tipo de subdominios e páxinas.
Tamén foi doado atopar un perfil en Github e unha esencia con comentarios. A partir de aí, o proceso de xeración dun token e un segredo para el é obvio. En tales misións non hai que inventar moito, en mi humilde opinión, xa que pode afogarse nunha morea de opcións para o desenvolvemento de eventos; e, en consecuencia, cómpre seguir onde o empurra o creador da misión.
Tendo en conta os subdominios restantes e o sitio de proba en tilde, estaba claro que despois de alimentar o láser, sería necesario seleccionar un token. En consecuencia, esa mesma noite esbocei unha solicitude aproximada para acender o láser (en base a 4 formularios dispoñibles: 1 no sitio de traballo e 3 no de proba/antigo) e tentei facer un bruto con fichas de traballo a partir de 42 (ben, para o parvo: de súpeto, xa está todo habilitado e a páxina co envío do token abrirase simplemente despois do TIN e do nome completo).
Non estou seguro de que a solicitude fose correcta, xa que non había tempo para comprobar (ao final, só era posible comprobar que o láser estaba acendido), pero prepareime con antelación para a busca do token.
Tamén había unha lóxica obvia con websockets e xestión de dispositivos no ficheiro app.js. Houbo un indicio atrevido dun dispositivo a9, ao enviar enerxía: verdadeiro ao que o socket fallou. Tentei envialo todo - nunca se sabe, podería haber un dispositivo adicional para resolver o TIN, pero sen éxito.
Despois busquei no resto dos ficheiros de identificación xunto a eses dez, pero había un dispositivo descoñecido por todas partes. Tamén intentei buscar en Google todo tipo de cousas, subir [protexido por correo electrónico], enviou todo no formulario na páxina da lista de prezos, rebuscou con lasermasters, pero todo sen éxito. Ao día seguinte estaba sentado no chat, googleando todo tipo de cousas, entón xurdiu o tema de stego e consultei coa persoa de stegosolve por fotos e gifs (pero entendín mentalmente que o 99% das veces non había nada alí, xa que iso sería demasiado + unha contradición coa liña de busca principal) .
Pero ao final, tamén me sentei a buscar en todas as fotos e os gifs durante un par de horas. Chamei un par de veces máis con diferentes opcións de TIN, pero non funcionou. Entón decidín renunciar a iso, pero publicaron alí unha pista, e quedou claro que o número de identificación fiscal (TIN) atoparíase nun futuro próximo, que foi o que pasou. Entón, eu ou outra persoa (non é obvio) enviamos enerxía: fiel ao dispositivo a9 e o láser comezou a funcionar, aínda que quizais non houbese conexión e só comezou a funcionar despois do TIN. En xeral, entrei no panel de administración do láser e quedei bastante sorprendido, xa que o propio servidor enviou o token (e xa me estaba preparando para bruto). Fíxose obvio que o token era de proba, xa que a emisión + sentido común + comprobeino.
O código contiña a lóxica de enviar un token de traballo a algún lugar como notificación, pero ao parecer ou era o código incorrecto ou era necesario para outras partes do sistema. Elaborei un guión para obter o token de traballo actual da proba actual e comecei a sentarme en f5, tentando envialos; houbo problemas con isto, xa que todo o mundo estaba constantemente presionando o botón de envío, cambiando así o token se é posible. Entón o sitio fallou, o contador restableceuse, pero ese non é o punto: despois dun tempo enviei un token de traballo. En teoría o contador era 58 e токен был 449a776938f7ce4cf19f8603045dca0f no momento da activación, se non me equivoco. Iso é todo.
Despois quedeime un pouco por comentarios como "si, todo isto é trivial, pero tiven sorte". Ben, se vas á páxina, pensa un minuto, escribe un guión nun par de minutos, compróbao; entón si, é trivial. Pero fíxeno en 10-20 segundos, e despois non puiden enviar o token durante varios minutos.
Por suposto, podes tentar escribir lóxica para recollelo e envialo automaticamente, pero iso levaría máis tempo e suporía un gran risco, ademais de que a nube probablemente comezaría a xurar. O que tiven a sorte foi a última etapa: algúns algoritmos para velocidade + velocidade de reacción, este é só o meu. Se houbera unha tarefa directamente do pentest, moi probablemente non me convertería no primeiro.
Pero aínda non rematou
Non podo esperar para falarvos do fantástico equipo que construíu esta sala de escape e de todas as solucións de enxeñería que chegaron. Pero esta publicación xa resultou ser demasiado grande, polo que haberá artigos separados sobre isto, así que estade atentos e subscríbete ao noso blog en Habré.
Fonte: www.habr.com