Pred pár dňami sme dokončili jednu z najviac emocionálne nabitých udalostí, ktoré sme mali to šťastie hostiť v rámci blogu – online hackerskú hru s deštrukciou servera.
Výsledky prekonali všetky naše očakávania: účastníci sa nielen zúčastnili, ale rýchlo sa zorganizovali do dobre zohranej komunity 620 ľudí na Discorde, ktorá za dva dni bez prestávky na spánok vzala pátranie doslova útokom.
A takto to skončilo:
Ako to celé začalo a o čo vlastne ide?
Hra začala 12. augusta, keď sme uverejnili príspevok na blogu s videom, v ktorom sa hacker v podobe lebky ponúka zahrať si hru, zničiť server, spôsobiť skrat v miestnosti (dobre, alebo minipožiar) a zobrať zvyšné peniaze v skartovačke.
Bola to online úloha: spustili sme YouTube vysielanie z miestnosti, ktorá bola plná iot zariadení, servera pod posteľou (ktorý musel byť zničený) a nad serverom bolo pripevnené akvárium a nad ním viselo závažie. Aby bola hra akčnejšia, rozhodli sme sa spraviť výherný fond 200 000 rubľov, ktorý sme naložili do skartovačky a nastavili, aby sa zapínala každých 60 minút. Každú hodinu skartovač zjedol 1000 rubľov – čím skôr to hráči zastavili, tým viac peňazí vyhrali.
Zostavenie tohto questu bolo questom samo o sebe – museli sme jesť iba jedlo a spať niekoľko hodín denne priamo v tej istej miestnosti. Ale najúžasnejšie bolo sledovať myšlienkový útek hráčov a ich emocionálny vplyv v tomto procese.
Aby som bol úprimný, vynaliezavosť hráčov pri riešení hádaniek mnohonásobne prevýšila našu skromnú predstavu: každú voľnú minútu sme čítali discord chat a v niektorých prípadoch sme doslova plakali od smiechu, keď sme zisťovali, čo hráči robia a ako žartujú. proces.
Na projekte neúnavne pracovalo 7 ľudí: backender, hardvérový špecialista, skutočný filmový producent, CG dizajnér a dvaja ideologickí koproducenti.
V nasledujúcich príspevkoch vám presne povieme, ako bol quest implementovaný z technického hľadiska, ale zatiaľ vám poviem riešenie: ako presne bolo potrebné hacknúť túto miestnosť vo vysielaní. Zároveň si pripomeňme chronológiu udalostí, ako aj všetky bláznivé iluminátske teórie z discord chatu a to je všetko.
Čo mali hráči na začiatku zápasu?
Všetky predmety v miestnosti boli rozdelené do troch kategórií:
- Ľahko použiteľné neherné iot zariadenia
- Herné zariadenia na dokončenie úlohy
- sprievod
Umiestnili sme 8 veľmi ľahko ovládateľných prvkov: dve lampy, jednu girlandu, päť písmen FALCON, pričom každé z nich sa dalo farebne zmeniť. Toto všetko bolo možné zapnúť/vypnúť priamo z webovej stránky a okamžite vidieť výsledok vo vysielaní – konkrétne sme ich sprístupnili všetkým hráčom bez ohľadu na úroveň ich technickej zdatnosti.
Všetko, čo bolo jednoducho zahrnuté zo stránky
Z dôležitých herných prvkov, ktoré boli potrebné na dokončenie úlohy a prístup ku ktorým nebolo také ľahké získať:
- Server s otvoreným vekom a akvárium nad ním
- Závažie zavesené na rozbitie akvária
- Megatron 3000 - výkonné laserové ukazovátko zamerané na lano, ktoré drží váhu
- Výkonný ventilátor, ktorý sa spustil pri zaťažení servera
- Flipchart, na ktorom bolo napísané prihlasovacie meno a heslo pre Megatron
- Telefón, na ktorý môžete zavolať a vidieť svoj hovor naživo
- Skartovač, ktorý zjedol 1000 rubľových bankoviek za hodinu
Ako presne bola úloha vyriešená?
Hneď poviem: rakva sa otvorila celkom jednoducho.
Cieľom hry bolo zastaviť skartovačku spôsobením skratu v miestnosti. Aby to bolo možné, bolo potrebné akvárium rozbiť tak, že do neho hodíte závažie a server naplníte vodou. Váha bola držaná na šnúre, na ktorú mieril Megatron. Prevzatím kontroly nad Megatronom sa dalo lano prerezať. Stalo sa to v 5 jednoduchých krokoch:
Krok 1. Vložte server do miestnosti
Napríklad odosielanie paketov s príkazom.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaNápoveda bola veľmi zaťažujúca na .
Rovnaká captcha, na ktorú bolo potrebné zaútočiť
Po načítaní servera sa jeho teplota zvýšila a to bolo možné sledovať na monitorovacom systéme otvorenom priamo pred kamerou. Potom sa zapol ventilátor, čím sa otvoril svetelný záves na flipcharte. Potom sa otvorilo prihlasovacie meno a heslo pre prístup na stránku Megatron, napísané na tabuli.
A samotná stránka správy Megatronu sa dá nájsť skontrolovaním všetkých certifikátov vydaných pre doménu ooosokol.ru.
Na subdoméne bola tam kontrolná stránka Megatronu. Otvoril sa však až vtedy, keď bol Megatron napájaný primárnou energiou.
Všetky tieto fázy hráči prešli takmer okamžite v komentároch prenosu na YouTube. Potom sa úlohy skomplikovali a hráči vytvorili discord server RUVDS Hack Room a pokračovali tam v diskusii.
Krok 2: Použite primárny výkon na Megatron
Všetky inteligentné zariadenia ovládané zo stránky (rovnaké lampy, ktoré hráči zapínali a vypínali bez zastavenia) mali svoje vlastné identifikátory.
Na dodávanie primárnej energie Megatronu a zároveň jeho osvetlenie bolo potrebné nájsť a zapnúť skryté zariadenie na stránke správy kancelárie.
Aby ste to urobili, museli ste sa pozrieť na identifikátory zariadení a všimnúť si, že celkovo existujú 4 zariadenia, ale na stránke sú dostupné iba 3.
Keď bolo zapnuté 4. zariadenie, bola dostupná stránka Megatron a samotný laser bol osvetlený. Ale zároveň nebolo možné strieľať laserom a to Objavila sa správa, že laser ešte nie je k dispozícii, a náznak: v kancelárii bola dopravná zápcha, musíte zavolať správcovskú spoločnosť a požiadať o napájanie.
Tip na správcovskú spoločnosť
3. Zavolajte správcovskej spoločnosti a požiadajte o zapnutie napájania Megatronu
Podľa ORL Megatron nemohol strieľať, pretože dopravné zápchy v kancelárii boli vyradené. Napájanie mohla znova zapnúť iba správcovská spoločnosť, ktorú bolo potrebné kontaktovať a identifikovať ako vlastníka LLC.
Bolo ľahké nájsť číslo správcovskej spoločnosti - vložili sme ho priamo do päty.
Identifikácia však bola oveľa ťažšia.
Pri volaní na číslo +74991130688 operátorka zdvihla telefón a znudeným hlasom sa pýtala na INN spoločnosti a celé meno majiteľa. Bez toho odmietla zapnúť prúd a vysvetlila to tým, že je obyčajný outsourcovaný dispečing, majú 2000 klientov a kancelárií a bez týchto informácií je jednoducho nemožné nájsť tú, ktorú potrebujú.
Toto sa ukázalo byť pre hráčov najťažšou etapou. Nájsť správne DIČ a celé meno majiteľa trvalo takmer dva dni a ja (v zastúpení operátora dispečingu) som za túto dobu prijal viac ako 400 hovorov. Telefón zvonil každé 2-3 minúty.
Chlapi kopali, ako sa dalo. Použilo sa všetko: vykuchali zdrojový kód stránky, vyhľadali majiteľa stránky Sokolov na Googli a prehľadali sociálne siete.
Hľadali daňové identifikačné čísla rôznych spoločností
Takmer úplná schéma vyhľadávania
V istom momente dokonca volali so sfalšovaným číslom – ako keby volali z kancelárie firmy Sokol uvedenej v päte.
Potom sme sa dozvedeli, koľko podnikov sa volá Sokol. Takmer každá z týchto spoločností dostávala hovory od hráčov, ale to nebolo nič v porovnaní s tým, čo stránka zažila , od ktorého sme vlastne ten istý Megatron kúpili asi pred mesiacom.
Najprv nezhoda zaútočila na podporu Lasersmasters.
Potom sa nám tam podarilo nájsť niečí účet! Zatiaľ čo podpora Lasermasters už prestala šetriť na výrazoch.
Pozor, deti držte ďalej od obrazovky
Nakoniec sa ich Lasermasters rozhodli len nahnevať a ich stránka spadla. Tak ako sa nám podarilo položiť lokalitu Sokol, hoci sme ju rýchlo zdvihli.
Počas vyšetrovania našli chlapci z nezhody dokonca herca, ktorého fotografiu sme kúpili z akcií, aby hral úlohu hlavného antagonistu, majiteľa LLC Andrei Sokolov. Vysvitlo, že sa volá Yuri a absolútne netuší, do akej šlamastiky sa dostal.
Andrey Sokolov, herná postava
Yuri, modelka
Keby len vedel, ako prinútil 600 ľudí, aby dva dni nespali...)
Potom začali kopať špeciálne pre mňa, ako organizátora questu (ktorý by sa mohol skončiť úspechom, keby chalani uhádli, že hacknú moje pracovné kanály).
Dokonca som sa trochu znepokojil, keď pomenovali moje priezvisko a dokonca aj moje daňové identifikačné číslo. Ale uľavilo sa mi, keď som počas prevádzky poškodeného telefónu mal zrazu staršieho brata, z ktorého sa zrazu stal Habrov technický riaditeľ.
Môj drahý brat, ktorý tiež trpel
Medzitým boli dohady čoraz neuveriteľnejšie
A prišlo k teóriám Iluminátov.
Najšťavnatejšie konšpiračné teórie sa týkali SpongeBob, Harryho Pottera a blikania čínskej diódovej girlandy, ktorú sme umiestnili do systémovej jednotky.
Odkiaľ sú SpongeBob a Harry Potter, hovoríte? Ich adresy sme dali na Sokolovu kontaktnú stránku a to vyvolalo v komunite nezhôd veľa špekulácií. Aj keď sme chceli len vzdať hold našim obľúbeným dielam z detstva.
Rovnaký odkaz na stránke ""
A ako výsledok
Ukázalo sa, že v sérii naozaj sú dokumenty SpongeBob. Nazývali sa ako TIN
Jednou z najzložitejších teórií bolo, že blikajúca čínska girlanda obsahovala správu v morzeovke.
Blikanie bolo zaznamenané a pokúsilo sa ho rozlúštiť
Jednoduchšia teória hovorí, že chalani sa snažili zistiť, či je stopa ukrytá v kartách.
Po ceste nás porovnávali s — nezaslúžene vysoké hodnotenie, ale stále príjemné.
Hráči skúšali sociálne inžinierstvo zo všetkých síl. Zavolali ma pod rúškom FSB, hasičov, samotného Sokolova, jeho bývalú manželku a ochranku, ktorá údajne sedí dole. Povedali, že vypukol požiar, niekto uviazol vo výťahu a najviac srdcervúci príbeh bol, že pes volajúceho údajne sedel v kancelárii, zachvátený požiarom.
Došlo aj k pokusom o podplácanie
V chate sa pomaly začali objavovať moje vlastné meme.
Tu je pár
Medzitým továrne nečinne stáli
pomôcť
V skartovačke bolo stále menej peňazí. Aby výherca získal aspoň niečo, rozhodli sme sa urobiť nápovedu. Zároveň pri dodržaní pravidiel herného dizajnu zdvihnite napätie tesne pred finále.
Samostatné Video sme zverejnili na blogu. Na začiatok bol vložený kúsok z Klubu bitkárov ako odkaz na Tylera Durdena, ktorý pri svojej práci v kinách uvažoval o vložení 25. snímky do filmov.
Rozhodli sme sa použiť rovnakú mechaniku a do 25. snímky sme vložili nápovedu, ako na to správne DIČ a celé meno vlastníka.
Potom na to chlapci veľmi rýchlo prišli
Krok 4. Strieľajte laserom v nebojovom režime
Keď napájanie dodala správcovská spoločnosť a po zapnutí zástrčiek sa Megatron zapol a mohol spustiť v testovacom režime. Do vstupného formulára už bol vložený token na skúšobný výstrel.
Každých 25 sekúnd sa vygeneroval nový token, ktorý sa dal použiť na zapnutie lasera na 10 sekúnd pri výkone 10/255
Potom laser na 1 minútu vychladol a v tej minúte bol nedostupný a neakceptoval nové požiadavky na výstrel.
Táto sila bola úplne nedostatočná na prepálenie lana, ale každý hráč mohol vystreliť z Megatronu a vidieť laserový lúč v akcii.
Reakcia komunity bola viac než rázna
Všetci sa však rýchlo upokojili a uvedomili si, že toto nie je koniec hry.
Potom komunita začala vymýšľať, ako spustiť bojový režim
brainstorming
Na nesúlade sú falzifikáty
Nevedeli sme, že vo vysielaní je na nohe stola niečo napísané
Komunita sa dostala ku kroku 4. Pochopte, ako sa generujú tokeny: nájdite podstatu a vygenerujte token, ktorý zapne laser v bojovom režime
Bojový režim Megatronu je 100% výkon lasera pri 3 wattoch. To stačí na 2 minúty na prepálenie lana, ktoré držalo váhu, rozbitie akvária a zaplavenie servera vodou.
Nechali sme niekoľko tipov : menovite kód generovania tokenov, z ktorého by sa dalo pochopiť, že testovacie a bojové tokeny sa generujú na základe rovnakého indikátora počítadla. V prípade bojového tokenu sa okrem hodnoty počítadla používa aj soľ, ktorá takmer úplne zostala v histórii zmeny tejto podstaty, s výnimkou posledných dvoch postáv.
Ako všetci rýchlo uhádli, bolo to 42
V komentároch k podstate bola korešpondencia medzi Andreym Sokolovom a vývojárom („múdry vývojár“, ako ho nazvali chlapci z nezhody).
V korešpondencii Andrey poslal jeden z bojových tokenov a vývojár odpovedal, že tento token bol inicializovaný s hodnotou počítadla 42.
Pri poznaní týchto údajov bolo možné pretriediť posledné 2 symboly soli a vlastne zistiť, že na to boli použité čísla zo Strateného, prevedené do šestnástkovej sústavy.
Potom museli hráči zachytiť hodnotu počítadla (analýzou testovacieho žetónu) a vygenerovať bojový žetón pomocou nasledujúcej hodnoty počítadla a soli vybranej v predchádzajúcom kroku.
Počítadlo sa jednoducho zvýšilo pri každom testovacom výstrele a každých 25 sekúnd. Nikde sme o tom nepísali, malo to byť malé herné prekvapenie. Chalani na to veľmi rýchlo prišli a spustili megatron v bojovom režime.
Krok 5. Laserové vypálenie lana
Ako to bolo
Všetko je tu jednoduché. Odoslaním bojového žetónu by sa laser zmenil na bojový režim a miestnosť by sa zmenila a prešla do „katastrofického režimu“, ako sme to nazvali vo všeobecnom scenári:
- Všetky svetlá v miestnosti zhasli
- Tlačidlá pre zariadenia iot na webovej stránke sa stali nedostupnými
- Blikajúce svetlá a zvuk sirény
- Rozsvietilo sa červené závažie
- Na televíznej obrazovke začalo odpočítavanie, kým sa laser nespustil do bojového režimu.
Dali sme odpočítavanie hodinu a pol, aby si každý, kto hral, stihol zapnúť prenos a pozrieť si finále. A z dobrého dôvodu: zatiaľ čo som so zatajeným dychom čakal na zvuk nárazu a rozbíjania skla z vedľajšej miestnosti, celý tím, ktorý quest postavil, bez slova začal chodiť na základňu, aby videl koniec so svojimi vlastné oči. Len vbehli do izby a začali sa objímať.
Medzitým v nesúlade
Po skončení odpočítavania začal laser pôsobiť a o dve minúty prepálil lano - závažie letelo priamo do akvária. Pred dopadom na obrazovke zakričala šialená kapybara a v panike zdvihla svoje malé labky.
Keďže sa tam zišiel celý tím, strelili sme malý odkaz všetkým, ktorí dva dni na rozporoch bojovali o finále a išli otvárať šampanské:
Ako sme vypočítali načasovanie spustenia reklamných videí a letu váhy?
Po desiatke testov pálenia lana laserom sme si uvedomili, že ide o veľmi nespoľahlivú konštrukciu - napoly prepálené lano sa stáva tenšou, pod váhou váhy sa naťahuje, mení polohu a laser už nemôže prerezať to úplne.
Preto sme zvolili inú cestu: vyhorenie sme duplikovali omotaním lana nichrómovou niťou. Cez vlákno prešiel prúd, rozžeravilo sa a prepálilo sa cez lano asi za 2 sekundy – to nám dalo presné pochopenie, kedy zapnúť kričiacu kapybaru, zastaviť časovač spustenia a spustiť reklamu:
Čo sa nám nepodarilo?
Zo systémovej jednotky mal nakoniec vychádzať hustý dym ako pri požiari - pripravili sme dymovnice, zapálili ich rovnakým spôsobom, ale z nejakého dôvodu nefungovali (pravdepodobne kvôli vode).
kto je víťaz?
Vyšiel víťaz Arkady Alekseev z Petrohradu - ako prvý vygeneroval testovací token a vyhral zvyšné peniaze v skartovačke vo výške 134 000 rubľov.
Krátky rozhovor s Arkadym.
Povedz nám o sebe, čo robíš v práci?
Som vyštudovaný bezpečnostný špecialista, vyštudoval som BIT na ITMO. Pracujem ako outsourcovaný full stack web developer. V škole som súťažil v súťažiach vrátane programovania a matematiky.
Ako ste sa o hre dozvedeli?
Išiel som za Habrom len čítať, videl som článok a zaujal ma.
Koľko hodín ste hrali, keď ste sa pridali?
Pripojil som sa večer v deň uverejnenia článku (t.j. deň pred koncom). Strávil som večer a veľkú časť nasledujúceho dňa.
Čo sa vám páčilo a čo nie?
Vo všeobecnosti sa mi všetko páčilo (samozrejme, vyhral som), ale bol som trochu nervózny z hovorov. No ako, telefonovanie a kontrola každej verzie akosi nebolo veľmi dobré, aspoň to bolo trápne - pochopil som, že ich stále volalo niekoľko desiatok, polovica žartovala a snažila sa zapojiť do sociálneho inžinierstva.
Ako ste prišli na to, ako nájsť bojový žetón pre Megatrona?
Keď som vošiel, už spamovali server, prepichli žiarovky, našli heslo pre laserový admin panel, všetky druhy subdomén a stránok.
Bolo tiež ľahké nájsť profil na Github a podstatu s komentármi. Odtiaľ je proces generovania tokenu a jeho tajomstva zrejmý. V takýchto úlohách nie je potrebné veľa vymýšľať, IMHO, pretože sa môžete utopiť v množstve možností vývoja udalostí; a podľa toho sa musíte riadiť tým, kam vás tlačí tvorca questu.
S prihliadnutím na zostávajúce subdomény a testovaciu lokalitu na tilde bolo jasné, že po napájaní lasera bude potrebné vybrať token. Preto som v ten istý večer načrtol približnú požiadavku na zapnutie lasera (na základe 4 dostupných formulárov: 1 na pracovisku a 3 na testovacom/starom) a pokúsil som sa brutálne zasiahnuť pracovnými žetónmi od 42 (dobre, pre blázna - zrazu je tam už všetko povolené a stránka s odoslaním tokenu sa jednoducho otvorí za DIČ a celým menom).
Nie som si istý, či bola požiadavka správna, pretože nebol čas na kontrolu (koniec koncov, bolo možné iba skontrolovať, či je laser zapnutý), ale vopred som sa pripravil na hľadanie tokenu.
V súbore app.js bola tiež zjavná logika s websockets a správou zariadení. Pri odosielaní napájania sa objavil odvážny náznak zariadenia a9: pravda, s ktorou sa zrútila zásuvka. Skúšal som do nej všetko poslať - človek nikdy nevie, môže tam byť aj doplnkové zariadenie na riešenie DIČ, ale neúspešne.
Potom som hľadal zvyšok ID súborov vedľa tých desiatich, ale všade bolo neznáme zariadenie. Skúšal som aj všeličo googliť, liezť ďalej [chránené e-mailom], všetko poslal vo formulári na stránke cenníka, kopal s lasermasters, ale všetko bez úspechu. Na druhý deň som sedel na chate, googlil som všelijaké veci, potom prišla téma stego a konzultoval som s osobou stegosolve obrázky a gify (ale v duchu som pochopil, že na 99% tam nič nebolo, keďže to by bolo priveľa + rozpor s hlavnou questovou líniou) .
Ale nakoniec som aj ja pár hodín sedel a prehrabával všetky obrázky a gify. Zavolal som ešte niekoľkokrát s rôznymi možnosťami DIČ, ale nefungovalo to. Potom som sa rozhodol to vzdať, ale zverejnili tam nápovedu – a bolo jasné, že daňové identifikačné číslo (DIČ) sa nájde v blízkej budúcnosti, čo sa aj stalo. Potom som buď ja, alebo niekto iný (nie je zrejmé), poslal napájanie: verné zariadeniu a9 a laser začal fungovať, aj keď možno nebolo žiadne spojenie a práve začal fungovať po TIN. Vo všeobecnosti som išiel do administračného panelu lasera a bol som celkom prekvapený, pretože server sám poslal token (a už som sa pripravoval na brutálnu). Ukázalo sa, že token bol skúšobný, pretože vysielanie + zdravý rozum + som to skontroloval.
Kód obsahoval logiku posielania pracovného tokenu niekam ako notifikáciu, no zrejme to bol buď nesprávny kód, alebo to bolo potrebné pre iné časti systému. Navrhol som skript na získanie aktuálneho pracovného tokenu z aktuálneho testovacieho a začal som sedieť na f5 a pokúšal som sa ich poslať - s tým boli problémy, pretože všetci neustále tlačili na tlačidlo odoslania, čím som token podľa možnosti zmenil. Potom stránka zlyhala, počítadlo sa vynulovalo, ale o to nejde - po chvíli som poslal funkčný token. Teoreticky bolo počítadlo 58 a токен был 449a776938f7ce4cf19f8603045dca0f v čase aktivácie, ak sa nemýlim. To je všetko.
Potom som sa trochu popálil z komentárov typu „áno, je to všetko triviálne, ale mal som len šťastie“. No, ak pôjdete na stránku, chvíľu premýšľate, napíšete skript za pár minút, skontrolujete to - potom áno, je to triviálne. Ale urobil som to za 10-20 sekúnd a potom som nemohol niekoľko minút odoslať token.
Samozrejme, mohli by ste skúsiť napísať logiku, aby ste to zobrali a automaticky odoslali, ale to by trvalo dlhšie a bolo by to veľké riziko, navyše by zrejme cloud začal nadávať. Na čo som mal naozaj šťastie, bola úplne posledná fáza - pár algoritmov pre rýchlosť + rýchlosť reakcie, toto je len moje. Keby tam bola úloha priamo z pentestu, s najväčšou pravdepodobnosťou by som sa nestal prvým.
Ale ešte nie je koniec
Nemôžem sa dočkať, až vám poviem o úžasnom tíme, ktorý postavil túto únikovú miestnosť, a o všetkých technických riešeniach, s ktorými prišli. Ale tento príspevok sa už ukázal byť príliš veľký - takže o tom budú samostatné články, takže zostaňte naladení a prihláste sa na odber nášho blogu na Habré.
Zdroj: hab.com