Een paar dagen geleden rondden we een van de meest emotioneel geladen gebeurtenissen af die we op een blog mochten hosten: een online hackspel dat een server vernietigt.
De resultaten overtroffen al onze verwachtingen: de deelnemers namen niet alleen deel, maar organiseerden zich snel in een goed gecoördineerde gemeenschap van 620 mensen op de discord, die de zoektocht letterlijk in twee dagen stormenderhand veroverde zonder slaappauze.
En zo is het uiteindelijk geworden:
Hoe is het allemaal begonnen en waar gaat het over?
De game begon op 12 augustus, toen we iets op de blog plaatsten met een video waarin een hacker in de vorm van een schedel aanbiedt om een spel te spelen, de server te vernietigen, een kortsluiting in de kamer te maken (nou ja, of een minibrand) en het geld dat in de shredder is achtergebleven mee te nemen.
Het was een online zoektocht: we lanceerden een YouTube-uitzending vanuit een kamer die vol stond met iot-apparaten, een server aan het bed (die vernietigd moest worden), en we maakten een aquarium boven de server en hingen er een gewicht overheen. Om het spel actievoller te maken, hebben we besloten om een prijzenpot van 200 roebel te maken, die we in de versnipperaar laadden en die elke 000 minuten aanzetten. Elk uur at de shredder 60 roebel - hoe eerder de spelers stopten, hoe meer geld ze zouden winnen.
Het bouwen van deze zoektocht was een zoektocht op zich - we moesten één levering eten en meerdere uren per dag slapen in dezelfde kamer. Maar het meest verbazingwekkende was om de vlucht van de gedachten van de spelers en hun emotionele terugkeer in het proces te zien.
Om eerlijk te zijn, overtrof de vindingrijkheid van de spelers bij het oplossen van de puzzels ons bescheiden idee vele malen: elke vrije minuut lazen we de discord-chat en in sommige gevallen snikten we letterlijk van het lachen, om erachter te komen wat de spelers aan het doen waren en hoe ze grappen maakten het proces.
7 mensen werkten onvermoeibaar aan het project: een backender, een hardwarespecialist, een echte filmproducent, een CG-ontwerper en twee ideologische coproducenten.
In de volgende berichten zullen we je precies vertellen hoe de zoektocht vanuit technisch oogpunt is geïmplementeerd, maar voor nu zal ik je de oplossing vertellen: hoe het precies nodig was om deze kamer tijdens de uitzending te hacken. Laten we tegelijkertijd de chronologie van de gebeurtenissen in herinnering brengen, evenals alle gekke Illuminati-theorieën uit de onenigheid-chat en dat is alles.
Wat hadden de spelers aan het begin van het spel
Alle objecten in de kamer waren onderverdeeld in drie categorieën:
- Eenvoudig te beheren, niet-gaming iot-apparaten
- Spelapparaten om de zoektocht te halen
- Entourage
We plaatsten 8 zeer eenvoudig te beheren elementen: twee lampen, één guirlande, vijf letters FALCON, die elk van kleur konden veranderen. Dit alles kan rechtstreeks vanaf de site worden in- of uitgeschakeld en het resultaat kan onmiddellijk in de uitzending worden gezien - we hebben ze specifiek beschikbaar gemaakt voor alle spelers, ongeacht het niveau van technische kennis.
Alles wat zojuist van de site was opgenomen
Van de belangrijke spelelementen die nodig waren om de zoektocht te voltooien, en waartoe het niet zo gemakkelijk was om toegang te krijgen:
- Server met een open deksel en een aquarium erboven
- Een gewicht opgehangen om een aquarium te breken
- Megatron 3000 - een krachtige laserpointer gericht op het touw dat het gewicht vasthoudt
- Een krachtige ventilator die begon toen de server werd belast
- Flipchart waarop de gebruikersnaam en het wachtwoord voor Megatron waren geschreven
- Een telefoon die u kunt bellen en uw oproep live kunt zien
- Schroeder die biljetten van 1000 roebel per uur at
Hoe werd de zoektocht precies opgelost?
Ik zal meteen zeggen: de kist ging heel eenvoudig open.
Het doel van het spel was om de shredder te stoppen door de kamer kort te sluiten. Om dit te doen, was het nodig om het aquarium te breken door er een gewicht in te lanceren en de server met water te vullen. Het gewicht werd vastgehouden door een koord waar Megatron naar wees. Door de controle over Megatron over te nemen, kon het touw worden doorgesneden. Dit gebeurde in 5 eenvoudige stappen:
Stap 1. Laad de server in de kamer
Bijvoorbeeld pakketjes versturen met een commando.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaDe hint was erg geladen op .
Dezelfde captcha die moest worden aangevallen
Toen de server werd geladen, nam de temperatuur toe en dit kon worden gevolgd op de monitoring, die recht voor de camera was geopend. Toen ging de ventilator aan, waardoor er een lichtgordijn op de flipover openging. Vervolgens werden de login en het wachtwoord voor toegang tot de Megatron-pagina op het bord geopend.
En de Megatron-beheerpagina zelf kan worden gevonden door alle certificaten te controleren die zijn uitgegeven voor het domein ooosokol.ru.
Op een subdomein er was een Megatron-controlepagina. Maar hij ging pas open toen Megatron van primaire stroom werd voorzien.
Al deze fases hebben de spelers vrijwel direct doorlopen in de commentaren van de uitzending op youtube. Verder waren de taken moeilijker en creëerden de spelers de RUVDS Hack Room discord-server en zetten de discussie daar voort.
Stap 2. Pas primaire stroom toe op Megatron
Alle slimme apparaten die vanaf de site werden aangestuurd (dezelfde lampen die de spelers aan- of uitzetten zonder te stoppen) hadden hun eigen identifiers.
Om Megatron primair van stroom te voorzien en tegelijkertijd te verlichten, was het nodig om een verborgen apparaat op de kantoorbeheerpagina te vinden en aan te zetten.
Om dit te doen, was het nodig om naar de apparaat-ID's te kijken en te zien dat er in totaal 4 apparaten zijn en dat er slechts 3 beschikbaar zijn op de site.
Toen het 4e apparaat werd ingeschakeld, kwam de Megatron-pagina beschikbaar en werd de laser zelf gemarkeerd. Maar tegelijkertijd was het onmogelijk om met een laser te schieten en daarop er was een bericht dat de laser nog niet beschikbaar was en een hint: er waren files op kantoor, je moet de beheermaatschappij bellen en om stroom vragen.
Tip over de beheermaatschappij
3. Bel de beheermaatschappij en vraag om Megatron aan te zetten
Megatron kon niet op LOR schieten omdat de files op kantoor waren uitgeschakeld. Alleen de beheermaatschappij kon de stroom weer inschakelen, die moest worden gebeld en geïdentificeerd als de eigenaar van de LLC.
Het vinden van het nummer van de beheermaatschappij was eenvoudig - we hebben het direct in de voettekst geplaatst.
Maar identificatie was veel moeilijker.
Toen ze het nummer +74991130688 belde, nam het meisje van de telefoniste de telefoon op en vroeg verveeld om het TIN van het bedrijf en de volledige naam van de eigenaar te geven. Zonder dit weigerde ze de stroom aan te zetten en legde dit uit door te zeggen dat ze een gewone uitbestede controlekamer was, ze hadden 2000 klanten en kantoren, en zonder deze informatie was het simpelweg onmogelijk om de juiste te vinden.
Voor de spelers bleek dit de moeilijkste etappe te zijn. Ze zochten bijna twee dagen naar het juiste TIN en de volledige naam van de eigenaar, en gedurende deze tijd ontving ik (vertegenwoordigd door de telefoniste) meer dan 400 oproepen. De telefoon ging elke 2-3 minuten.
De jongens groeven zo hard als ze konden. Alles werd gebruikt: ze haalden de broncode van de site uit, googleden de eigenaar van de site Sokolov, doorprikten sociale netwerken.
Ze waren op zoek naar de FIN van verschillende bedrijven
Bijna compleet zoekschema
Op een gegeven moment belden ze zelfs met een vervanging van het nummer - alsof ze belden vanuit het kantoor van het bedrijf Sokol, aangegeven in de voettekst.
Toen leerden we hoe een groot aantal bedrijven Sokol heten. Bijna elk van deze bedrijven werd gebeld door spelers, maar het was niets vergeleken met wat de site meemaakte. , van wie we een maand geleden echt diezelfde Megatron kochten.
Discord viel eerst de ondersteuning van Lasermaster aan.
Toen konden ze daar iemands account vinden! Terwijl de ondersteuning van Lasermasters al is gestopt met beknibbelen op uitdrukkingen.
Wees voorzichtig, houd de kinderen uit de buurt van het scherm
Uiteindelijk besloot Lasermasters om gewoon te zaddosit en hun site ging uit de lucht. Evenals we zijn erin geslaagd om de site van de Falcon te plaatsen, hoewel we deze snel hebben verhoogd.
Tijdens het onderzoek vonden de jongens van de onenigheid zelfs een acteur wiens foto we uit aandelen kochten, zodat hij de rol zou spelen van de hoofdantagonist, de eigenaar van Andrey Sokolov LLC. Het bleek dat zijn naam Yuri is en hij zich totaal niet bewust is van de rotzooi waar hij in terecht is gekomen.
Andrey Sokolov, spelkarakter
Joeri, model
Als hij wist hoe hij 600 mensen twee dagen niet liet slapen...)
Toen begonnen ze speciaal voor mij te graven, als de organisator van de zoektocht (wat heel goed had kunnen eindigen als de jongens hadden geraden mijn werkende kanalen te hacken).
Ik maakte me zelfs een beetje zorgen toen ze mijn middelste naam en zelfs TIN noemden. Maar het was een opluchting toen ik tijdens het werken met een beschadigde telefoon plotseling een oudere broer had, die plotseling de technisch directeur van Habr bleek te zijn.
Mijn lieve broer, die ook geleden heeft
Ondertussen werden de gissingen steeds ongelooflijker.
En het kwam tot de Illuminati-theorieën.
De sappigste complottheorieën gingen over SpongeBob, Harry Potter en de knipperende Chinese diodeslinger die we in de systeemeenheid hebben gestopt.
Waar kwamen SpongeBob en Harry Potter vandaan, zegt u? We stopten hun adressen in de contactpagina van Sokol en dat zorgde voor veel speculatie in de onenigheidsgemeenschap. Hoewel we alleen maar een eerbetoon wilden brengen aan onze favoriete werken uit onze kindertijd.
Dezelfde link op de pagina ""
En als een resultaat
Het bleek dat er echt documenten van Sponge Bob in de serie zitten. Ze werden TIN genoemd
Een van de meest complexe theorieën was dat in het knipperen van de Chinese slinger een morsecodebericht was genaaid.
Flicker werd opgenomen en probeerde te ontcijferen
Van de theorieën is het eenvoudiger - de jongens probeerden te begrijpen of de hint niet in de kaarten was genaaid.
Onderweg werden we vergeleken met - onverdiend hoge waardering, maar toch prettig.
Spelers probeerden social engineering met man en macht. Ze belden me onder het mom van de FSB, brandweerlieden, Sokolov zelf, zijn ex-vrouw en een bewaker die naar verluidt bij ons beneden zit. Er werd gezegd dat er brand was uitgebroken, dat iemand vastzat in de lift en het meest hartverscheurende verhaal was dat de hond van de beller naar verluidt in het kantoor zat, overspoeld door vuur.
Er zijn ook pogingen tot omkoping geweest.
Langzaam begonnen hun eigen memes in de chat te verschijnen.
Hier zijn er een paar
En de fabrieken lagen stil
helpen
Er zat steeds minder geld in de versnipperaar. Zodat de winnaar in ieder geval iets krijgt, hebben we besloten een hint te geven. Tegelijkertijd, door de regels van het spelontwerp te volgen, vlak voor de finale, verhoogt u de spanning.
Verschillend We hebben een video op de blog geplaatst. In het begin werd een stuk uit Fight Club ingevoegd - als verwijzing naar Tyler Durden, die erover dacht om het 25e frame in films in te voegen terwijl hij in theaters werkte.
We besloten om dezelfde mechanica toe te passen en voegden een hint toe aan het 25e frame, zoals juiste TIN en volledige naam van de eigenaar.
Daarna hebben de jongens het heel snel opgelost.
Stap 4. Schiet op de laser in niet-gevechtsmodus
Toen er stroom werd geleverd door de beheermaatschappij en nadat de stekkers waren aangezet, ging Megatron aan en kon in de testmodus schieten. Het token voor de testopname is al vervangen in het invoerformulier.
Elke 25 seconden werd er een nieuw token gegenereerd dat kon worden gebruikt om de laser 10 seconden aan te zetten op 10/255 vermogen
Daarna koelde de laser 1 minuut af en was op die minuut niet beschikbaar, accepteerde geen nieuwe aanvragen voor een opname.
Deze kracht was absoluut niet genoeg om door het touw te branden, maar elke speler kon vanuit Megatron schieten en de laserstraal in actie zien.
De reactie van de gemeenschap was meer dan wild
Maar iedereen kalmeerde snel en realiseerde zich dat dit niet het einde van het spel was.
Toen begon de gemeenschap erachter te komen hoe ze de gevechtsmodus konden starten
brainstorm
Er zijn vervalsingen op de onenigheid
We wisten niet dat er tijdens de uitzending iets op de tafelpoot was geschreven
De community is bij stap 4 gekomen. Begrijp hoe tokens worden gegenereerd: zoek een kern en genereer een token die de laser in gevechtsmodus aanzet
De gevechtsmodus van Megatron is 100% laservermogen van 3 watt. Dit is voldoende voor 2 minuten om het touw dat het gewicht vasthield te verbranden, het aquarium te breken en de server met water te vullen.
We hebben enkele tips achtergelaten voor : namelijk de code voor het genereren van tokens, waardoor het mogelijk was om te begrijpen dat de test- en gevechtstokens worden gegenereerd op basis van dezelfde tellerindicator. In het geval van een gevechtsfiche wordt naast de tellerwaarde ook een salt gebruikt, die bijna volledig in de wijzigingsgeschiedenis van deze kern is achtergebleven, met uitzondering van de laatste twee karakters.
Zoals iedereen snel raadde, was het 42
In de commentaren van de kern was er een correspondentie tussen Andrey Sokolov en de ontwikkelaar ("wise developer", zoals de jongens van de onenigheid hem noemden).
In de correspondentie stuurde Andrey een van de gevechtstokens en de ontwikkelaar antwoordde dat dit token was geïnitialiseerd met een tellerwaarde van 42.
Met deze gegevens was het mogelijk om de laatste 2 karakters van het salt te herhalen en erachter te komen dat de nummers van Lost geconverteerd naar 16 ervoor werden gebruikt.
Vervolgens moesten de spelers de waarde van de teller opvangen (door het testtoken te analyseren) en een gevechtsfiche genereren met de volgende waarde van de teller en het zout dat in de laatste stap was geselecteerd.
De teller liep gewoon op bij elke testopname en elke 25 seconden. We hebben hier nergens over geschreven, het had een kleine in-game verrassing moeten zijn. De jongens hadden het snel door en lanceerden de megatron in gevechtsmodus.
Stap 5. Lasergesneden het touw
Hoe het was
Alles is hier eenvoudig. Het verzenden van een gevechtsfiche zou de laser in de gevechtsmodus zetten en de kamer zou veranderen en in de "rampenmodus" gaan, zoals we het in het algemene scenario noemden:
- Alle lichten in de kamer uitgedaan
- Knoppen voor iot-apparaten op de site zijn niet meer beschikbaar
- Flitser en sirene geluid
- Het rode gewicht werd gemarkeerd
- Op het tv-scherm begon het aftellen naar de start van de laser in gevechtsmodus
We hebben het aftellen anderhalf uur gegeven zodat iedereen die speelde de uitzending aan kon zetten en de finale kon zien. En niet tevergeefs: terwijl ik met ingehouden adem wachtte op het geluid van een klap en brekend glas uit de volgende kamer, begon het hele team dat de zoektocht had opgebouwd, zonder een woord te zeggen, naar de basis te gaan om de finale te zien met mijn eigen ogen. Ze renden gewoon de kamer in en begonnen te knuffelen.
Ondertussen op Discord
Na het einde van het aftellen ging de laser aan in de strijd en brandde in twee minuten door het touw - het gewicht vloog rechtstreeks het aquarium in. Voor de inslag schreeuwde een gekke capibara op het scherm, zijn kleine pootjes in paniek opheffend.
Aangezien het hele team daar samenkwam, filmden we een korte oproep aan iedereen die twee dagen lang streed voor de finale op de discord en de champagne ging openen:
Hoe hebben we de lanceringstijd voor promotievideo's en de vlucht van de kettlebell berekend?
Na een dozijn testen van het branden van het touw met een laser, realiseerden we ons dat dit een zeer onbetrouwbaar ontwerp is - een half verbrand touw wordt dunner, onder het gewicht van het gewicht dat het uitrekt, het verandert van locatie en de laser kan niet langer doorsnijden het tot het einde.
Daarom gingen we de andere kant op: we dupliceerden de burn-out door het touw te omwikkelen met nichrome draad. Er ging een stroom door de draad, het gloeide roodgloeiend en brandde in ongeveer 2 seconden door het touw - dit gaf ons precies inzicht in wanneer we de schreeuwende capibara moesten aanzetten, de starttimer moesten stoppen en de commercial moesten starten:
Wat werkte niet voor ons?
Uiteindelijk moest er dikke rook uit de systeemeenheid komen, zoals bij brand - we hebben rookbommen voorbereid, op dezelfde manier in brand gestoken, maar om de een of andere reden werkten ze niet (waarschijnlijk door water).
Wie is de winnaar?
De winnaar kwam naar buiten Arkadi Aleksejev uit St. Petersburg - hij was het die als eerste een testtoken genereerde en het resterende geld in de shredder won voor een bedrag van 134 roebel.
Een kort interview met Arkady.
Vertel iets over jezelf, wat doe je op je werk?
Van opleiding ben ik beveiliger, ik ben afgestudeerd aan BIT bij ITMO. Ik werk als een full-stack uitbestede webdeveloper. Op school was hij een Olympiade, ook in programmeren en wiskunde.
Hoe heb je het spel leren kennen?
Ik ging naar Habr om te lezen, ik zag een artikel, ik raakte geïnteresseerd.
Hoeveel uur speelde je toen je lid werd?
Ik sloot me aan op de avond van de dag waarop het artikel werd geplaatst (d.w.z. een dag voor het einde). In de avond gezeten en een groot deel van de volgende dag.
Wat vond je leuk, wat vond je niet leuk?
Over het algemeen vond ik alles leuk (nog steeds, ik heb gewonnen)), maar ik heb het moment een beetje gespannen met de telefoontjes. Nou, alsof het bellen en controleren van elke versie op de een of andere manier niet erg was, het was in ieder geval gênant - ik begreep dat er nog enkele tientallen waren die belden, de helft van hen maakte een grapje en probeerde in social engineering te komen.
Hoe ben je erachter gekomen hoe je het gevechtsfiche voor de megatron kunt vinden?
Toen ik binnenkwam, hadden ze de server al gespamd, gloeilampen gepord, het wachtwoord voor het laserbeheerpaneel gevonden, allerlei subdomeinen en pagina's.
Het was ook gemakkelijk om een profiel op github te vinden en een kern met opmerkingen. Vanaf daar is het proces van het genereren van een token en een geheim daarvoor duidelijk. In dergelijke speurtochten hoef je IMHO niet veel uit te vinden, omdat je kunt verdrinken in een heleboel opties voor de ontwikkeling van evenementen; en dienovereenkomstig moet je volgen waar de maker van de zoektocht je naartoe duwt.
Gezien de rest van de subdomeinen en de tilde-testsite, was het duidelijk dat het nodig zou zijn om na het inschakelen van de laser een token op te halen. Dienovereenkomstig schetste ik op dezelfde avond een geschat verzoek om de laser aan te zetten (gebaseerd op 4 beschikbare formulieren: 1 op de werklocatie en 3 op de test/oude) en probeerde ik te draaien met werkfiches vanaf 42 ( nou, voor de gek - ineens is alles daar al ingeschakeld, en de pagina met het verzenden van het token wordt gewoon geopend na het TIN en de volledige naam).
Ik weet niet zeker of het verzoek correct was, aangezien er geen tijd was om te controleren (het was tenslotte alleen mogelijk om de laser aan te zetten), maar ik heb me van tevoren voorbereid op de tokenopsomming.
Er was ook duidelijke logica met websockets en apparaatbeheer in het app.js-bestand. Er was een gedurfde hint naar het a9-apparaat bij het verzenden van stroom: waar de socket crashte. Ik heb geprobeerd alles naar hem te sturen - je weet maar nooit, er zou een extra apparaat kunnen zijn om de TIN op te lossen, maar zonder succes.
Daarna heb ik naast die tien ook de rest van de ID's geprobeerd, maar overal stond een onbekend apparaat. Ik heb ook geprobeerd alles te googlen, klim maar door [e-mail beveiligd], dingen opgestuurd in het formulier op de prijslijstpagina, rondgesnuffeld met lasermasters, maar geen geluk. De volgende dag was ik aan het chatten, googelde dingen, toen dook het stego-onderwerp op en ik raadpleegde de stegosolv-persoon voor foto's en gifs (maar ik begreep in gedachten dat er voor 99% niets was, omdat het te veel zou zijn + tegenstrijdig met de hoofdzoekreeks).
Maar uiteindelijk heb ik ook een paar uur gezeten en me verdiept in alle foto's en gifs. Ik heb een paar keer gebeld met verschillende TIN-opties, maar door. Toen besloot ik het te vergeten, maar ze plaatsten daar een hint - en het werd duidelijk dat het TIN in de nabije toekomst zou worden gevonden, wat gebeurde. Toen stuurde ik of iemand anders (het is daar niet duidelijk) stroom: trouw aan het a9-apparaat en de laser werkte, hoewel er hier misschien geen verbinding is en het gewoon werkte na de TIN. Over het algemeen ging ik naar het admin-paneel van de laser en was behoorlijk verrast, aangezien de server zelf het token stuurde (en ik was me al aan het voorbereiden op bruut). Het werd duidelijk dat het token een test is, sinds uitzending + gezond verstand + ik heb het gecontroleerd.
De code had de logica om via een melding ergens een werkend token naar toe te sturen, maar blijkbaar was dit ofwel de verkeerde code, ofwel was het nodig voor andere delen van het systeem. Ik stelde een script op om het huidige werktoken uit het huidige testtoken te halen en begon op f5 te zitten om ze te verzenden - er waren problemen hiermee, aangezien iedereen constant op de verzendknop drukte en het token indien mogelijk veranderde. Toen ging er een andere site uit, de teller werd gereset, maar het deed er niet meer toe - na een tijdje stuurde ik een werkend token. In theorie stond de teller op 58 en токен был 449a776938f7ce4cf19f8603045dca0f op het moment van activering, als ik me niet vergis. Eigenlijk alles.
Toen raakte ik een beetje opgebrand door de opmerkingen a la "ja, het is allemaal triviaal, maar gelukkig eenvoudig." Nou, als je naar de pagina gaat, even nadenkt, binnen een paar minuten een script schrijft, het controleert, dan ja, het is triviaal. Maar ik deed het in 10-20 seconden, en toen kon ik het token gewoon een paar minuten niet verzenden.
Je zou natuurlijk kunnen proberen de logica te schrijven voor het automatisch ophalen en verzenden, maar dit is al langer en een groot risico, plus de cloud zou waarschijnlijk gaan vloeken. Dat is waar ik echt geluk mee had, dus dit is met de allerlaatste fase - een paar algoritmen voor snelheid + reactiesnelheid, dit is regelrecht van mij. Als er direct een taak uit de pentest zou komen, zou ik hoogstwaarschijnlijk niet de eerste zijn.
Maar het is nog niet voorbij
Ik kan niet wachten om je te vertellen over het geweldige team dat deze escape room heeft gebouwd en alle technische oplossingen die ze hebben gevonden. Maar deze post bleek al te groot - dus er zullen aparte artikelen over verschijnen, dus houd ons in de gaten en abonneer je op onze blog op Habré.
Bron: www.habr.com