Cu câteva zile în urmă am finalizat unul dintre cele mai încărcate evenimente emoționale pe care am avut norocul să-l găzduim ca parte a blogului - un joc de hackeri online cu distrugere de server.
Rezultatele au depășit toate așteptările noastre: participanții nu numai că au participat, dar s-au organizat rapid într-o comunitate bine coordonată de 620 de persoane pe Discord, care a luat literalmente misiunea cu asalt în două zile, fără pauză de somn.
Și așa s-a terminat:
Cum a început totul și despre ce este vorba?
Jocul a început pe 12 august când am postat pe blog cu un videoclip în care un hacker în formă de craniu se oferă să joace un joc, să distrugă serverul, să provoace un scurtcircuit în cameră (bine, sau un mini-incendiu) și să ia banii rămași în tocător.
A fost o căutare online: am lansat o transmisie pe YouTube dintr-o cameră care era plină de dispozitive iot, un server sub pat (care trebuia distrus), iar deasupra serverului a fost fixat un acvariu și o greutate atârna peste el. Pentru a face jocul mai plin de acțiune, am decis să facem un fond de premii de 200 de ruble, pe care l-am încărcat în tocător și l-am setat să pornească la fiecare 000 de minute. În fiecare oră, tocatorul a mâncat 60 de ruble - cu cât jucătorii l-au oprit mai repede, cu atât vor câștiga mai mulți bani.
Construirea acestei misiuni a fost o căutare în sine - trebuia să mâncăm doar mâncare și să dormim câteva ore pe zi chiar în aceeași cameră. Dar cel mai uimitor lucru a fost urmărirea gândurilor jucătorilor și a impactului lor emoțional în acest proces.
Sincer să fiu, ingeniozitatea jucătorilor în rezolvarea puzzle-urilor a depășit de multe ori ideea noastră modestă: în fiecare minut liber citim discuția de discord și, în unele cazuri, plângeam literalmente de râs, aflând ce făceau jucătorii și cum glumeau. procesul.
7 oameni au lucrat neobosit la proiect: un backender, un specialist hardware, un adevărat producător de film, un designer CG și doi coproducători ideologici.
Vă vom spune în următoarele postări exact cum a fost implementat quest-ul din punct de vedere tehnic, dar deocamdată vă voi spune soluția: cât de exact a fost necesar să piratați această cameră la difuzare. În același timp, să ne amintim de cronologia evenimentelor, precum și de toate teoriile nebunești ale Illuminati din discuția de discordie și atât.
Ce au avut jucătorii la începutul jocului?
Toate obiectele din cameră au fost împărțite în trei categorii:
- Dispozitive iot ușor de utilizat, care nu sunt pentru jocuri
- Dispozitive de jocuri pentru finalizarea misiunii
- anturaj
Am amplasat 8 elemente foarte ușor de gestionat: două lămpi, o ghirlandă, cinci litere FALCON, fiecare dintre acestea putând fi schimbată la culoare. Toate acestea puteau fi activate/dezactivate direct de pe site și să vedeți imediat rezultatul la difuzare - le-am pus în mod special la dispoziția tuturor jucătorilor, indiferent de nivelul lor de cunoștințe tehnice.
Tot ceea ce a fost pur și simplu inclus de pe site
Dintre elementele importante de joc care au fost necesare pentru a finaliza misiunea și accesul la care nu a fost atât de ușor de obținut:
- Server cu capacul deschis și acvariu deasupra
- Greutate suspendată pentru a sparge un acvariu
- Megatron 3000 - un indicator laser puternic care vizează frânghia care ține greutatea
- Un ventilator puternic care a pornit când serverul era sub încărcare
- Flipchart pe care au fost scrise datele de conectare și parola pentru Megatron
- Un telefon pe care l-ai putea suna și să-ți vezi apelul live
- Tocătorul care a mâncat bancnote de 1000 de ruble pe oră
Cum anume a fost rezolvată căutarea?
Voi spune imediat: sicriul s-a deschis destul de simplu.
Scopul jocului a fost oprirea tocatorului prin provocarea unui scurtcircuit în cameră. Pentru a face acest lucru, a fost necesar să spargeți acvariul aruncând o greutate în el și să umpleți serverul cu apă. Greutatea era ținută de un cordon spre care țintea Megatron. Prin preluarea controlului Megatronului, frânghia ar putea fi tăiată. Acest lucru a fost realizat în 5 pași simpli:
Pasul 1. Încărcați serverul în cameră
De exemplu, trimiterea de pachete cu o comandă.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaSugestia a fost foarte încărcată pe .
Același captcha care trebuia atacat
Când serverul a fost încărcat, temperatura acestuia a crescut și aceasta putea fi monitorizată pe sistemul de monitorizare deschis direct în fața camerei. Apoi s-a pornit ventilatorul, care a deschis o cortină luminoasă pe flipchart. Apoi s-au deschis login-ul și parola pentru accesarea paginii lui Megatron, scrise pe tablă.
Și pagina de management Megatron în sine a putut fi găsită verificând toate certificatele emise pentru domeniul ooosokol.ru.
Pe un subdomeniu era o pagină de control Megatron. Dar nu s-a deschis până când Megatron a fost alimentat cu energie primară.
Jucătorii au trecut aproape imediat prin toate aceste etape în comentariile difuzării de pe YouTube. Apoi sarcinile s-au complicat și jucătorii au creat serverul de discord RUVDS Hack Room și au continuat discuția acolo.
Pasul 2: Aplicați puterea primară la Megatron
Toate dispozitivele inteligente controlate de pe site (aceleași lămpi pe care jucătorii le aprindeau și stingeau fără oprire) aveau propriile lor identificatoare.
Pentru a furniza energie primară lui Megatron și, în același timp, pentru a-l ilumina, a fost necesar să găsiți și să porniți un dispozitiv ascuns pe pagina de gestionare a biroului.
Pentru a face acest lucru, trebuia să te uiți la identificatorii dispozitivelor și să observi că sunt 4 dispozitive în total, dar doar 3 sunt disponibile pe site.
Când al 4-lea dispozitiv a fost pornit, pagina Megatron a devenit disponibilă și laserul însuși a fost evidențiat. Dar, în același timp, a fost imposibil să trageți cu laser și asta A existat un mesaj că laserul nu era încă disponibil și un indiciu: a fost un blocaj de trafic în birou, trebuie să suni la compania de administrare și să ceri curent.
Sugestie despre compania de management
3. Sunați compania de management și cereți să porniți puterea lui Megatron
Potrivit ORL, Megatron nu a putut trage pentru că ambuteiajele din birou au fost eliminate. Doar societatea de administrare putea reporni curentul, care trebuia contactată și identificată drept proprietara SRL-ului.
A fost ușor de găsit numărul companiei de administrare - l-am introdus direct în subsol.
Dar identificarea a fost mult mai dificilă.
Când a sunat la numărul +74991130688, o femeie operator a ridicat telefonul și a cerut cu o voce plictisită INN-ul companiei și numele complet al proprietarului. Fără aceasta, ea a refuzat să pornească curentul și a explicat acest lucru prin faptul că este o cameră de control obișnuită externalizată, au 2000 de clienți și birouri, iar fără această informație pur și simplu este imposibil să-l găsești pe cel de care au nevoie.
Aceasta s-a dovedit a fi cea mai dificilă etapă pentru jucători. A fost nevoie de aproape două zile pentru a găsi TIN-ul corect și numele complet al proprietarului, iar eu (reprezentat de operatorul camerei de control) am primit peste 400 de apeluri în acest timp. Telefonul a sunat la fiecare 2-3 minute.
Băieții au săpat cât au putut. Totul a fost folosit: au distrus codul sursă al site-ului, au căutat pe Google proprietarul site-ului, Sokolov, și au căutat prin rețelele sociale.
Ei căutau numere de identificare fiscală ale diferitelor companii
Schema de căutare aproape completă
La un moment dat, au sunat chiar și cu un număr falsificat - ca și cum ar suna de la biroul companiei Sokol enumerată în subsol.
Apoi am aflat câte companii poartă numele Sokol. Aproape fiecare dintre aceste companii a primit apeluri de la jucători, dar acest lucru nu a fost nimic în comparație cu ceea ce a experimentat site-ul , de la care am cumpărat de fapt același Megatron acum aproximativ o lună.
În primul rând, discordia a atacat suportul Lasersmasters.
Apoi am reușit să găsim contul cuiva acolo! În timp ce sprijinul Lasermasters a încetat deja să se zgățească cu expresii.
Atenție, țineți copiii departe de ecran
În cele din urmă, Lasermasters a decis să-i enerveze și site-ul lor s-a prăbușit. Așa cum am reușit să dăm jos site-ul Sokol, deși l-am ridicat rapid.
În timpul anchetei, băieții de la discordia au găsit chiar și un actor, a cărui fotografie am cumpărat-o din acțiuni, pentru ca acesta să joace rolul principalului antagonist, proprietarul SRL Andrei Sokolov. S-a dovedit că numele lui este Yuri și nu are absolut nicio idee în ce fel de mizerie a intrat.
Andrey Sokolov, personajul jocului
Yuri, model
Dacă ar ști cum a forțat 600 de oameni să nu doarmă două zile...)
Apoi au început să sape special pentru mine, ca organizator al căutării (care s-ar fi putut foarte bine să se termine cu succes dacă băieții ar fi ghicit să-mi pirateze canalele de lucru).
Chiar m-am îngrijorat puțin când mi-au numit patronimul și chiar numărul meu de identificare fiscală. Dar m-a ușurat când, în timp ce telefonul deteriorat funcționa, am avut brusc un frate mai mare, care s-a dovedit brusc a fi directorul tehnic al lui Habr.
Dragul meu frate, care a suferit și el
Între timp, presupunerile au devenit din ce în ce mai incredibile
Și s-a ajuns la teoriile Illuminati.
Cele mai suculente teorii ale conspirației s-au referit la SpongeBob, Harry Potter și clipirea ghirlandei de diode chinezești pe care am plasat-o în interiorul unității de sistem.
De unde sunt SpongeBob și Harry Potter, zici? Am pus adresele lor în pagina de contact a Sokol și acest lucru a dat naștere multor speculații în comunitatea discord. Deși am vrut doar să aducem un omagiu lucrărilor noastre preferate din copilărie.
Aceeași referință pe pagină ""
Și ca rezultat
S-a dovedit că în serie există într-adevăr documente SpongeBob. Au fost numiți ca TIN
Una dintre cele mai complexe teorii a fost că ghirlanda chineză care clipește conține un mesaj în cod Morse.
Pâlpâirea a fost înregistrată și a încercat să fie descifrată
O teorie mai simplă este că băieții au încercat să-și dea seama dacă indiciul a fost ascuns în cărți.
Pe parcurs am fost comparați cu — un rating nemeritat de mare, dar totuși plăcut.
Jucătorii au încercat ingineria socială cu toată puterea lor. M-au sunat sub masca FSB, pompieri, Sokolov însuși, fosta lui soție și agentul de securitate care se presupune că stă jos. Ei au spus că a început un incendiu, cineva a rămas blocat în lift, iar cea mai sfâșietoare poveste a fost că se presupune că câinele apelantului stătea în birou, cuprins de foc.
Au existat și tentative de luare de mită
Încet, propriile mele meme au început să apară în chat.
Iată câteva
Între timp, fabricile au rămas inactiv
ajutor
În tocător erau din ce în ce mai puțini bani. Pentru ca câștigătorul să primească măcar ceva, am decis să facem un indiciu. În același timp, urmând regulile de proiectare a jocului, ridicați tensiunea chiar înainte de final.
Separa Am postat un videoclip pe blog. La început, o piesă din Fight Club a fost inserată ca referință la Tyler Durden, care se gândea să insereze cel de-al 25-lea cadru în filme în timp ce lucra în cinematografe.
Am decis să aplicăm aceeași mecanică și am introdus un indiciu pe cel de-al 25-lea cadru despre cum să facem NIF corect și numele complet al proprietarului.
După aceea, băieții și-au dat seama foarte repede
Pasul 4. Trage cu laser în modul non-combat
Când puterea a fost furnizată de compania de management și după ce ștecherele au fost pornite, Megatron a pornit și a putut declanșa în modul de testare. Un simbol pentru o fotografie de probă a fost deja introdus în formularul de intrare.
La fiecare 25 de secunde a fost generat un nou jeton, acesta ar putea fi folosit pentru a porni laserul timp de 10 secunde la putere 10/255
Apoi laserul s-a răcit timp de 1 minut și în acest minut a fost indisponibil și nu a acceptat noi cereri pentru o lovitură.
Această putere era complet insuficientă pentru a arde prin frânghie, dar orice jucător putea să tragă de la Megatron și să vadă raza laser în acțiune.
Reacția comunității a fost mai mult decât viguroasă
Dar toată lumea s-a calmat repede și și-a dat seama că acesta nu este sfârșitul jocului.
Apoi comunitatea a început să descopere cum să lanseze modul de luptă
brainstorming
Există falsuri pe discord
Nu știam că era ceva scris pe piciorul mesei la emisiune
Comunitatea a ajuns la pasul 4. Înțelegeți cum sunt generate jetoanele: găsiți esența și generați un jeton care pornește laserul în modul luptă
Modul de luptă al lui Megatron este 100% putere laser la 3 wați. Este suficient timp de 2 minute pentru a arde frânghia care a ținut greutatea, a sparge acvariul și a inunda serverul cu apă.
Am lăsat câteva indicii : și anume codul de generare a jetoanelor, din care s-ar putea înțelege că jetoanele de test și de luptă sunt generate pe baza aceluiași indicator de contor. În cazul unui jeton de luptă, pe lângă valoarea contorului, se mai folosește și o sare, care este aproape complet lăsată în istoria schimbărilor acestui esențial, cu excepția ultimelor două personaje.
După cum toată lumea a ghicit rapid, era 42
În comentariile esenției, a existat o corespondență între Andrey Sokolov și dezvoltator („dezvoltator înțelept”, așa cum l-au numit băieții de la discord).
În corespondență, Andrey a trimis unul dintre jetoanele de luptă, iar dezvoltatorul a răspuns că acest token a fost inițializat cu o valoare a contorului de 42.
Cunoscând aceste date, a fost posibil să sortăm ultimele 2 simboluri ale sării și să aflăm efectiv că numerele din Lost, convertite în sistemul hexazecimal, au fost folosite pentru aceasta.
Apoi, jucătorii trebuiau să prindă valoarea contorului (prin analizarea jetonului de test) și să genereze un jeton de luptă folosind următoarea valoare a contorului și sarea selectată la pasul anterior.
Contorul a crescut pur și simplu cu fiecare lovitură de test și la fiecare 25 de secunde. Nu am scris despre asta nicăieri, trebuia să fie o mică surpriză de joc. Băieții și-au dat seama foarte repede și au lansat megatronul în modul luptă.
Pasul 5. Laser arde funia
Cum a fost
Totul este simplu aici. Trimiterea unui jeton de luptă ar transforma laserul în modul de luptă, iar camera s-ar schimba și va intra în „modul dezastru”, așa cum l-am numit în scenariul general:
- Toate luminile din cameră s-au stins
- Butoanele pentru dispozitivele iot de pe site au devenit indisponibile
- Lumini intermitente și sunet de sirenă
- Greutatea roșie a fost iluminată
- A început o numărătoare inversă pe ecranul televizorului până când laserul a fost lansat în modul luptă.
Am dat numărătoarea inversă o oră și jumătate pentru ca toți cei care au jucat să aibă timp să pornească emisiunea și să vadă finala. Și pentru un motiv întemeiat: în timp ce așteptam cu răsuflarea tăiată sunetul impactului și spargerea sticlei din camera alăturată, întreaga echipă care a construit misiunea, fără să scoată un cuvânt, a început să meargă la bază pentru a vedea finalul cu lor. proprii ochi. Au fugit în cameră și au început să se îmbrățișeze.
Între timp pe discordie
După ce numărătoarea inversă s-a încheiat, laserul a intrat în acțiune și în două minute a ars prin frânghie - greutatea a zburat direct în acvariu. Înainte de impact, un capibară înnebunit a țipat pe ecran, ridicând panicat labele mici.
Întrucât toată echipa era adunată acolo, am transmis un mic mesaj tuturor celor care au luptat pentru finală timp de două zile pe discordie și au mers să deschidă șampania:
Cum am calculat momentul lansării videoclipurilor publicitare și zborul greutății?
După o duzină de teste de ardere a unei frânghii cu laser, ne-am dat seama că acesta este un design foarte nesigur - frânghia pe jumătate arsă devine mai subțire, sub greutatea greutății pe care o întinde, își schimbă locația, iar laserul nu mai poate tăia. e complet.
Prin urmare, am luat un alt traseu: am duplicat epuizarea prin înfășurarea frânghiei cu fir de nicrom. Un curent a trecut prin fir, a devenit roșu și a ars prin frânghie în aproximativ 2 secunde - acest lucru ne-a oferit o înțelegere exactă a când să pornim capibara care țipă, să oprim cronometrul de pornire și să începem reclama:
Ce nu a funcționat pentru noi?
În cele din urmă, din unitatea de sistem trebuia să iasă fum gros, ca într-un incendiu - am pregătit bombe de fum, le-am aprins în același mod, dar din anumite motive nu au funcționat (probabil din cauza apei).
Cine este câștigătorul?
A ieșit câștigător Arkadi Alekseev din Sankt Petersburg - a fost primul care a generat un jeton de testare și a câștigat banii rămași în tocător în valoare de 134 de ruble.
Un scurt interviu cu Arkady.
Povestește-ne despre tine, ce faci la serviciu?
Sunt specialist în securitate prin formare, absolvent BIT la ITMO. Lucrez ca dezvoltator web full stack externalizat. La școală am concurat la concursuri, inclusiv la programare și matematică.
Cum ai aflat despre joc?
Am fost la Habr doar pentru a citi, am văzut articolul și m-am interesat.
Câte ore ai jucat când te-ai alăturat?
M-am alăturat în seara zilei în care a fost publicat articolul (adică cu o zi înainte de sfârșit). Mi-am petrecut seara și o bună parte din ziua următoare.
Ce ți-a plăcut și ce nu?
În general, mi-a plăcut totul (bineînțeles, am câștigat)), dar am fost puțin nervos din cauza apelurilor. Ei bine, cumva, apelarea și verificarea fiecărei versiuni nu a fost cumva foarte bună, cel puțin a fost incomod - am înțeles că mai sunt câteva zeci de ei care sunau, jumătate dintre ei glumeau și încercau să se angajeze în inginerie socială.
Cum ți-ai dat seama cum să găsești jetonul de luptă pentru Megatron?
Când am intrat, deja trimiseseră spam pe server, bătuseră becuri, găsiseră parola pentru panoul de administrare laser, tot felul de subdomenii și pagini.
De asemenea, a fost ușor să găsești un profil pe Github și o concluzie cu comentarii. De acolo, procesul de generare a unui token și a unui secret pentru acesta este evident. În astfel de căutări nu este nevoie să inventați multe, IMHO, deoarece vă puteți îneca într-o grămadă de opțiuni pentru dezvoltarea evenimentelor; și, în consecință, trebuie să urmăriți unde vă împinge creatorul misiunii.
Ținând cont de subdomeniile rămase și de site-ul de testare pe tilde, a fost clar că după alimentarea laserului, va fi necesar să selectați un simbol. În consecință, în aceeași seară am schițat o solicitare aproximativă de a porni laserul (pe baza a 4 formulare disponibile: 1 pe site-ul de lucru și 3 pe cel de testare/vechi) și am încercat să fac brute cu jetoane de lucru începând de la 42 (bine, pentru prost - dintr-o dată totul este deja activat, iar pagina cu trimiterea jetonului va fi pur și simplu deschisă după TIN și numele complet).
Nu sunt sigur că solicitarea a fost corectă, deoarece nu am avut timp să verific (la urma urmei, a fost posibil doar să verific dacă laserul a fost pornit), dar m-am pregătit în avans pentru căutarea jetonului.
A existat, de asemenea, o logică evidentă cu websocket-urile și gestionarea dispozitivelor în fișierul app.js. A existat un indiciu îndrăzneț al unui dispozitiv a9, la trimiterea energiei: adevărat la care s-a prăbușit priza. Am încercat să-i trimit totul - nu se știe niciodată, ar putea exista un dispozitiv suplimentar pentru rezolvarea TIN-ului, dar fără succes.
Apoi am căutat în restul fișierelor ID de lângă acele zece, dar peste tot era un dispozitiv necunoscut. De asemenea, am încercat să caut pe google tot felul de lucruri, urcă pe [e-mail protejat], a trimis totul în formularul de pe pagina de lista de prețuri, a făcut câteva săpături cu lasermasters, dar totul fără succes. A doua zi stăteam în chat, cautam pe Google tot felul de lucruri, apoi a apărut subiectul stego și m-am consultat cu persoana stegosolve pentru poze și gif-uri (dar am înțeles mental că în 99% din timp nu era nimic acolo, deoarece asta ar fi prea mult + o contradicție cu linia de căutare principală) .
Dar, în cele din urmă, am stat și am săpat prin toate pozele și gif-urile timp de câteva ore. Am mai sunat de câteva ori cu diferite opțiuni TIN, dar nu a funcționat. Apoi am decis să renunț, dar au postat un indiciu acolo - și a devenit clar că numărul de identificare fiscală (TIN) va fi găsit în viitorul apropiat, ceea ce s-a întâmplat. Apoi, ori eu sau altcineva (nu este evident) am trimis putere: fidel dispozitivului a9 și laserul a început să funcționeze, deși poate nu a existat nicio conexiune și tocmai a început să funcționeze după TIN. În general, am intrat în panoul de administrare al laserului și am fost destul de surprins, deoarece serverul însuși a trimis jetonul (și deja mă pregăteam să fac brute). A devenit evident că tokenul era unul de probă, din moment ce difuzarea + bun simț + l-am verificat.
Codul conținea logica trimiterii unui token de lucru undeva ca notificare, dar se pare că fie era codul greșit, fie era necesar pentru alte părți ale sistemului. Am elaborat un script pentru a obține jetonul de lucru curent din cel de testare curent și am început să stau pe f5, încercând să le trimit - au fost probleme cu asta, deoarece toată lumea apăsa în mod constant butonul de trimitere, schimbând astfel jetonul, dacă era posibil. Apoi site-ul s-a prăbușit, contorul a fost resetat, dar nu acesta este ideea - după un timp am trimis un token funcțional. În teorie, contorul era 58 și токен был 449a776938f7ce4cf19f8603045dca0f la momentul activării, dacă nu mă înșel. Asta e tot.
Apoi am fost puțin epuizat de comentarii de genul „da, totul este banal, dar am fost doar norocos.” Ei bine, dacă mergeți la pagină, gândiți-vă un minut, scrieți un scenariu în câteva minute, verificați-l - atunci da, este banal. Dar am făcut-o în 10-20 de secunde și apoi pur și simplu nu am putut trimite jetonul timp de câteva minute.
Desigur, ai putea încerca să scrii o logică pentru a-l ridica și a-l trimite automat, dar asta ar dura mai mult și ar fi un risc mare, plus probabil că cloud-ul ar începe să înjure. Ceea ce am avut cu adevărat norocos a fost ultima etapă - câțiva algoritmi pentru viteză + viteza de reacție, acesta este doar al meu. Dacă ar fi existat o sarcină direct din pentest, cel mai probabil nu aș fi devenit primul.
Dar încă nu sa terminat
Abia aștept să vă povestesc despre echipa uimitoare care a construit această cameră de evadare și despre toate soluțiile de inginerie cu care au venit. Dar această postare s-a dovedit deja a fi prea mare - așa că vor fi articole separate despre asta, așa că rămâneți pe fază și abonați-vă la blogul nostru pe Habré.
Sursa: www.habr.com