För ett par dagar sedan genomförde vi en av de mest känsloladdade händelserna som vi har haft turen att vara värd för som en del av bloggen – ett online hackerspel med serverförstöring.
Resultaten överträffade alla våra förväntningar: deltagarna deltog inte bara, utan organiserade sig snabbt i en välkoordinerad community med 620 personer på Discord, som bokstavligen tog sökandet med storm på två dagar utan sömnuppehåll.
Och så här slutade det:
Hur började det hela och vad handlar det om?
Spelet startade den 12 augusti när vi skrev på bloggen med en video där en hackare i form av en dödskalle erbjuder sig att spela ett spel, förstöra servern, orsaka en kortslutning i rummet (nåja, eller en minibrand) och ta de återstående pengarna i dokumentförstöraren.
Det var ett onlineuppdrag: vi lanserade en YouTube-sändning från ett rum som var fyllt med iot-enheter, en server under sängen (som måste förstöras) och ett akvarium fixerades ovanför servern och en vikt hängde över den. För att göra spelet mer actionfyllt bestämde vi oss för att skapa en prisfond på 200 000 rubel, som vi laddade in i dokumentförstöraren och ställde in den att slås på var 60:e minut. Varje timme åt dokumentförstöraren 1000 XNUMX rubel - ju tidigare spelarna stoppade det, desto mer pengar skulle de vinna.
Att bygga detta uppdrag var ett uppdrag i sig - vi var tvungna att bara äta mat och sova flera timmar om dagen i samma rum. Men det mest fantastiska var att se spelarnas tankeflykt och deras känslomässiga inverkan i processen.
För att vara ärlig översteg spelarnas uppfinningsrikedom när det gällde att lösa pusslen vår blygsamma idé många gånger om: varje ledig minut läste vi discord-chatten och i vissa fall bokstavligen grät av skratt, för att ta reda på vad spelarna gjorde och hur de skämtade i processen.
7 personer arbetade outtröttligt med projektet: en backender, en hårdvaruspecialist, en riktig filmproducent, en CG-designer och två ideologiska medproducenter.
Vi kommer att berätta i följande inlägg exakt hur uppdraget implementerades ur teknisk synvinkel, men för tillfället kommer jag att berätta lösningen: exakt hur det var nödvändigt att hacka det här rummet på sändningen. Samtidigt, låt oss komma ihåg händelsernas kronologi, såväl som alla galna Illuminati-teorier från discord-chatten och det är allt.
Vad hade spelarna i början av spelet?
Alla föremål i rummet var indelade i tre kategorier:
- Lätt att använda, icke-spelande iot-enheter
- Spelenheter för att slutföra uppdraget
- Följe
Vi placerade 8 mycket lätthanterliga element: två lampor, en girlang, fem FALCON-bokstäver, som var och en kunde ändras i färg. Allt detta kunde slås på/av direkt från hemsidan och omedelbart se resultatet i sändningen – vi gjorde dem specifikt tillgängliga för alla spelare, oavsett deras tekniska kunskapsnivå.
Allt som helt enkelt ingick från sidan
Av de viktiga spelelement som behövdes för att slutföra uppdraget och som inte var så lätt att få tillgång till:
- Server med öppet lock och akvarium ovanför
- Vikten avstängd för att bryta ett akvarium
- Megatron 3000 - en kraftfull laserpekare riktad mot repet som håller vikten
- En kraftfull fläkt som startade när servern var under belastning
- Blädderblock där inloggning och lösenord för Megatron skrevs
- En telefon som du kan ringa och se ditt samtal live
- Förstöraren som åt 1000-rubelsedlar i timmen
Hur exakt löstes uppdraget?
Jag säger genast: kistan öppnades helt enkelt.
Målet med spelet var att stoppa dokumentförstöraren genom att orsaka en kortslutning i rummet. För att göra detta var det nödvändigt att bryta akvariet genom att kasta en vikt i det och fylla servern med vatten. Vikten hölls på en sladd som Megatron siktade på. Genom att ta kontroll över Megatron kunde repet kapas. Detta gjordes i 5 enkla steg:
Steg 1. Ladda servern i rummet
Till exempel att skicka paket med ett kommando.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaTipset var väldigt laddande på .
Samma captcha som behövde attackeras
När servern laddades ökade dess temperatur och detta kunde övervakas på övervakningssystemet öppet direkt framför kameran. Sedan slog fläkten på, vilket öppnade en ljusridå på blädderblocket. Sedan öppnades inloggningsnamnet och lösenordet för att komma åt Megatrons sida, skrivet på tavlan.
Och själva Megatron-hanteringssidan kunde hittas genom att kontrollera alla certifikat som utfärdats för domänen ooosokol.ru.
På en underdomän det fanns en Megatron-kontrollsida. Men den öppnades inte förrän Megatron försågs med primärström.
Spelarna gick igenom alla dessa stadier nästan omedelbart i kommentarerna till sändningen på YouTube. Sedan blev uppgifterna mer komplicerade och spelarna skapade RUVDS Hack Room discord-server och fortsatte diskussionen där.
Steg 2: Applicera primärström till Megatron
Alla smarta enheter som styrdes från sajten (samma lampor som spelare tände och släckte utan att stanna) hade sina egna identifierare.
För att förse Megatron med primär ström och samtidigt belysa den var det nödvändigt att hitta och slå på en dold enhet på kontorshanteringssidan.
För att göra detta var du tvungen att titta på enhetsidentifierarna och lägga märke till att det finns 4 enheter totalt, men bara 3 är tillgängliga på webbplatsen.
När den 4:e enheten slogs på blev Megatron-sidan tillgänglig och själva lasern markerades. Men samtidigt var det omöjligt att skjuta en laser, och det Det fanns ett meddelande om att lasern ännu inte var tillgänglig och en ledtråd: det var en trafikstockning på kontoret, du måste ringa förvaltningsbolaget och be om ström.
Tips om förvaltningsbolaget
3. Ring förvaltningsbolaget och be att få slå på Megatrons ström
Enligt ENT kunde Megatron inte skjuta eftersom trafikstockningarna på kontoret slogs ut. Endast förvaltningsbolaget kunde slå på strömmen igen, vilket måste kontaktas och identifieras som ägaren till LLC.
Det var lätt att hitta förvaltningsbolagsnumret - vi infogade det direkt i sidfoten.
Men identifieringen var mycket svårare.
När en kvinnlig operatör ringde numret +74991130688 lyfte telefonen och frågade med uttråkad röst om företagets INN och ägarens fullständiga namn. Utan detta vägrade hon slå på strömmen och förklarade detta med att hon är ett vanligt utlokaliserat kontrollrum, de har 2000 XNUMX kunder och kontor och utan denna information är det helt enkelt omöjligt att hitta den de behöver.
Detta visade sig vara den svåraste etappen för spelarna. Det tog nästan två dagar att hitta rätt TIN och fullständigt namn på ägaren, och jag (representerad av kontrollrumsoperatören) fick mer än 400 samtal under denna tid. Telefonen ringde var 2-3:e minut.
Killarna grävde så gott de kunde. Allt användes: de rensade källkoden för sajten, googlade sajtägaren Sokolov och sökte genom sociala nätverk.
De letade efter skatteregistreringsnummer för olika företag
Nästan komplett sökschema
Vid något tillfälle ringde de till och med med ett falskt nummer - som om de ringde från kontoret för företaget Sokol som anges i sidfoten.
Sedan fick vi veta hur många företag som heter Sokol. Nästan vart och ett av dessa företag fick samtal från spelare, men detta var ingenting jämfört med vad sajten upplevde , från vilken vi faktiskt köpte samma Megatron för ungefär en månad sedan.
Först attackerade oenigheten Lasersmasters stöd.
Sedan kunde vi hitta någons konto där! Medan stödet från Lasermasters redan har upphört att snåla med uttryck.
Varning, håll barn borta från skärmen
Till slut bestämde sig Lasermasters för att bara irritera dem och deras sida kraschade. Precis som vi lyckades lägga ner Sokol-platsen, även om vi snabbt höjde den.
Under utredningen hittade killarna från discord till och med en skådespelare, vars foto vi köpte från aktier, så att han skulle spela rollen som huvudantagonisten, ägaren till LLC Andrei Sokolov. Det visade sig att han heter Yuri och han har absolut ingen aning om vilken typ av röra han hamnat i.
Andrey Sokolov, spelkaraktär
Yuri, modell
Om han bara visste hur han tvingade 600 personer att inte sova på två dagar...)
Sedan började de gräva specifikt för mig, som arrangör av uppdraget (som mycket väl kunde ha slutat med framgång om killarna hade gissat att de skulle hacka mina arbetskanaler).
Jag blev till och med lite orolig när de döpte mitt patronym och till och med mitt skattebetalarnummer. Men det var lättat när jag, medan den skadade telefonen fungerade, plötsligt fick en äldre bror, som plötsligt visade sig vara Habrs tekniska chef.
Min kära bror, som också led
Under tiden blev gissningarna mer och mer otroliga
Och det kom till Illuminatis teorier.
De saftigaste konspirationsteorierna gällde Svampbob, Harry Potter och blinkandet av den kinesiska diodgirlangen som vi placerade inuti systemenheten.
Var kommer Svampbob och Harry Potter ifrån, säger du? Vi lade in deras adresser på Sokols kontaktsida och detta gav upphov till många spekulationer i discord-gemenskapen. Fast vi ville bara hylla våra favoritverk från barndomen.
Samma referens på sidan ""
Och som resultat
Det visade sig att det verkligen finns SpongeBob-dokument i serien. De kallades som TIN
En av de mest komplexa teorierna var att den blinkande kinesiska girlangen innehöll ett meddelande i morsekod.
Flimret spelades in och försökte tydas
En enklare teori är att killarna försökte ta reda på om ledtråden var gömd i korten.
På vägen jämfördes vi med — ett oförtjänt högt betyg, men ändå trevligt.
Spelare provade social ingenjörskonst med all sin kraft. De ringde mig under sken av FSB, brandmän, Sokolov själv, hans före detta fru och säkerhetsvakten som påstås sitta på nedervåningen. De sa att en brand hade startat, någon satt fast i hissen och den mest hjärtskärande historien var att uppringarens hund förmodligen satt på kontoret, uppslukad av eld.
Det förekom också mutförsök
Sakta började mina egna memes dyka upp i chatten.
Här är ett par
Under tiden stod fabrikerna sysslolösa
prompt
Det blev mindre och mindre pengar i dokumentförstöraren. För att vinnaren ska få åtminstone något bestämde vi oss för att tipsa. Samtidigt, följ reglerna för speldesign, höj spänningen precis innan finalen.
Separat Vi har lagt upp en video på bloggen. I början infogades ett stycke från Fight Club som en referens till Tyler Durden, som funderade på att infoga den 25:e bilden i filmer medan han arbetade på biografer.
Vi bestämde oss för att tillämpa samma mekanik och infogade en ledtråd på den 25:e ramen om hur man korrekt TIN och fullständigt namn på ägaren.
Efter det kom killarna på det väldigt snabbt
Steg 4. Skjut en laser i icke-stridsläge
När ström tillfördes av förvaltningsbolaget och efter att kontakterna slagits på slogs Megatron på och kunde avfyra i testläge. En token för ett testskott har redan infogats i inmatningsformuläret.
Var 25:e sekund genererades en ny token, denna kunde användas för att slå på lasern i 10 sekunder med 10/255 effekt
Sedan svalnade lasern i 1 minut och var under denna minut inte tillgänglig och accepterade inte nya förfrågningar om ett skott.
Denna kraft var helt otillräcklig för att bränna igenom repet, men vilken spelare som helst kunde skjuta från Megatron och se laserstrålen i aktion.
Samhällets reaktion var mer än kraftfull
Men alla lugnade sig snabbt och insåg att detta inte var slutet på matchen.
Sedan började samhället komma på hur man startar stridsläge
spåna
Det finns förfalskningar på disharmoni
Vi visste inte att det stod något skrivet på bordsbenet i sändningen
Gemenskapen har kommit till steg 4. Förstå hur tokens genereras: hitta kärnan och generera en token som sätter på lasern i stridsläge
Megatrons stridsläge är 100 % laserkraft på 3 watt. Detta räcker i 2 minuter för att bränna igenom repet som höll vikten, bryta akvariet och svämma över servern med vatten.
Vi har lämnat några tips : nämligen tokengenereringskoden, från vilken man kunde förstå att test- och stridstokenen genereras baserat på samma räknarindikator. När det gäller en stridstoken används förutom motvärdet också ett salt, som nästan helt finns kvar i historien om att ändra denna kärna, med undantag för de två sista tecknen.
Som alla snabbt gissade var det 42
I kommentarerna till kärnan fanns en korrespondens mellan Andrey Sokolov och utvecklaren ("kloka utvecklare", som killarna från discord kallade honom).
I korrespondensen skickade Andrey en av stridssymbolerna, och utvecklaren svarade att denna token initierades med ett räknarvärde på 42.
Genom att känna till dessa data var det möjligt att sortera igenom de två sista symbolerna i saltet och faktiskt ta reda på att siffrorna från Lost, omvandlade till det hexadecimala systemet, användes för det.
Sedan var spelarna tvungna att fånga räknarvärdet (genom att analysera testtoken) och generera en stridstoken med hjälp av nästa räknarvärde och saltet som valdes i föregående steg.
Räknaren steg helt enkelt med varje testskott och var 25:e sekund. Vi skrev inte om det här någonstans, det var tänkt att vara en liten spelöverraskning. Killarna kom på det väldigt snabbt och startade megatronen i stridsläge.
Steg 5. Laserbränn repet
Hur det var
Allt är enkelt här. Att skicka en stridstoken skulle förvandla lasern till stridsläge, och rummet skulle förändras och gå in i "katastrofläge", som vi kallade det i det allmänna scenariot:
- Alla lampor i rummet släcktes
- Knappar för iot-enheter på webbplatsen blev otillgängliga
- Blinkande ljus och sirenljud
- Den röda vikten var upplyst
- En nedräkning började på TV-skärmen tills lasern sattes i stridsläge.
Vi gav nedräkningen en och en halv timme så att alla som spelade hann slå på sändningen och se finalen. Och av goda skäl: medan jag väntade med kvardröjande andetag på ljudet av stötar och krossat glas från nästa rum, började hela teamet som byggde uppdraget, utan att säga ett ord, gå till basen för att se slutet med deras egna ögon. De bara sprang in i rummet och började kramas.
Under tiden på disharmoni
Efter att nedräkningen var slut gick lasern i aktion och på två minuter brände sig igenom repet - vikten flög rakt in i akvariet. Före nedslaget skrek en galen kapybara på skärmen och höjde sina små tassar i panik.
Eftersom hela laget var samlat där skickade vi ett litet meddelande till alla som kämpade för finalen i två dagar på oenighet och gick för att öppna champagnen:
Hur beräknade vi tidpunkten för lanseringen av reklamfilmer och viktens flygning?
Efter ett dussin tester med att bränna ett rep med laser, insåg vi att detta är en mycket opålitlig design - det halvbrända repet blir tunnare, under tyngden av vikten det sträcker sig, byter plats och lasern kan inte längre skära igenom det helt.
Därför tog vi en annan väg: vi duplicerade utbrändheten genom att linda repet med nikromtråd. En ström passerade genom tråden, den blev glödhet och brände genom repet på cirka 2 sekunder - detta gav oss en exakt förståelse för när vi skulle slå på den skrikande kapybaran, stoppa starttimern och starta reklamfilmen:
Vad fungerade inte för oss?
Till slut var det meningen att tjock rök skulle komma ut ur systemenheten, som i en brand - vi förberedde rökbomber, tände dem på samma sätt, men av någon anledning fungerade de inte (troligtvis på grund av vatten).
Vem är vinnaren?
Kom ut som vinnare Arkady Alekseev från St. Petersburg - han var den förste att generera en testtoken och vann de återstående pengarna i dokumentförstöraren till ett belopp av 134 000 rubel.
En kort intervju med Arkady.
Berätta om dig själv, vad gör du på jobbet?
Jag är säkerhetsspecialist till utbildning, utexaminerad från BIT på ITMO. Jag arbetar som en outsourcad full-stack webbutvecklare. I skolan tävlade jag i tävlingar, bland annat i programmering och matematik.
Hur fick du reda på spelet?
Jag gick till Habr bara för att läsa, såg artikeln och blev intresserad.
Hur många timmar spelade du när du gick med?
Jag gick med på kvällen samma dag som artikeln publicerades (dvs en dag innan slutet). Jag tillbringade kvällen och en stor del av nästa dag.
Vad gillade du och vad gillade du inte?
I allmänhet gillade jag allt (såklart, jag vann)), men jag var lite nervös över samtalen. Tja, liksom, att ringa och kolla varje version var på något sätt inte särskilt bra, åtminstone var det besvärligt - jag förstod att det fortfarande var flera dussin av dem som ringde, hälften av dem skämtade och försökte ägna sig åt social ingenjörskonst.
Hur kom du på hur du hittade stridstokenet för Megatron?
När jag kom in hade de redan spammat servern, petat glödlampor, hittat lösenordet till laserns adminpanel, alla möjliga underdomäner och sidor.
Det var också lätt att hitta en profil på Github och en sammanfattning med kommentarer. Därifrån är processen att generera en token och en hemlighet för den uppenbar. I sådana uppdrag finns det inget behov av att uppfinna mycket, IMHO, eftersom du kan drunkna i en massa alternativ för utveckling av händelser; och följaktligen måste du följa var skaparen av uppdraget knuffar dig.
Med hänsyn till de återstående underdomänerna och testplatsen på tilde, var det tydligt att efter att ha drivit lasern, skulle det vara nödvändigt att välja en token. Följaktligen skissade jag samma kväll på en ungefärlig begäran om att slå på lasern (baserat på 4 tillgängliga formulär: 1 på arbetsplatsen och 3 på testet/gamla) och försökte att bruta med fungerande tokens från 42 (nåja, för dåren - plötsligt är allt redan där aktiverat, och sidan med att skicka token kommer helt enkelt att öppnas efter TIN och fullständigt namn).
Jag är inte säker på att begäran var korrekt, eftersom det inte fanns tid att kontrollera (det var trots allt bara möjligt att kontrollera att lasern var påslagen), men jag förberedde mig i förväg för sökningen efter token.
Det fanns också uppenbar logik med websockets och enhetshantering i app.js-filen. Det fanns en djärv antydan om en a9-enhet när den skickade ström: sant som uttaget kraschade. Jag försökte skicka allt till det - man vet aldrig, det kan finnas en extra enhet för att lösa TIN, men utan framgång.
Sedan sökte jag i resten av ID-filerna bredvid de där tio, men det fanns en okänd enhet överallt. Jag försökte också googla på allt möjligt, klättra på [e-postskyddad], skickade allt i formuläret på prislistsidan, grävde lite med lasermasters, men allt utan framgång. Dagen efter satt jag i chatten och googlade på allt möjligt, sedan kom stego-ämnet upp och jag rådgjorde med stegosolve-personen för bilder och gifs (men jag förstod mentalt att 99% av tiden fanns ingenting där, eftersom det skulle vara för mycket + en motsägelse med huvuduppdragsraden).
Men tillslut satt jag också och grävde igenom alla bilder och gifs i ett par timmar. Jag ringde ett par gånger till med olika TIN-alternativ, men det fungerade inte. Sedan bestämde jag mig för att ge upp det, men de postade en hint där - och det blev klart att skattebetalarens identifikationsnummer (TIN) skulle hittas inom en snar framtid, vilket är vad som hände. Sedan skickade antingen jag eller någon annan (det är inte uppenbart) ström: trogen a9-enheten och lasern började fungera, även om det kanske inte fanns någon anslutning och den började fungera efter TIN. I allmänhet gick jag in på administratörspanelen för lasern och blev ganska förvånad, eftersom servern själv skickade token (och jag förberedde mig redan på att brute). Det blev uppenbart att poletten var ett test, eftersom sändningen + sunt förnuft + jag kollade den.
Koden innehöll logiken att skicka en fungerande token någonstans som ett meddelande, men uppenbarligen var det antingen fel kod eller så behövdes det för andra delar av systemet. Jag skrev ett skript för att få den aktuella fungerande token från det aktuella testet och började sitta på f5 och försökte skicka dem - det fanns problem med detta, eftersom alla ständigt petade på skicka-knappen, och därigenom ändrade token om möjligt. Sedan kraschade sajten, räknaren återställdes, men det är inte meningen - efter ett tag skickade jag en fungerande token. I teorin var räknaren 58 och токен был 449a776938f7ce4cf19f8603045dca0f vid aktiveringstillfället, om jag inte har fel. Det är allt.
Sedan blev jag lite utbränd av kommentarer som "ja, det här är trivialt, men jag hade bara tur." Tja, om du går till sidan, tänk efter en minut, skriv ett manus på ett par minuter, kolla det - då ja, det är trivialt. Men jag gjorde det på 10-20 sekunder, och sedan kunde jag bara inte skicka token på flera minuter.
Naturligtvis kan du försöka skriva logik för att hämta och skicka det automatiskt, men det skulle ta längre tid och vara en stor risk, plus att molnet förmodligen skulle börja svära. Det jag hade riktigt tur med var det allra sista steget - några algoritmer för hastighet + reaktionshastighet, det här är bara min. Om det hade funnits en uppgift direkt från pentest så hade jag med största sannolikhet inte blivit den första.
Men det är inte över än
Jag kan inte vänta med att berätta om det fantastiska teamet som byggde detta escape room och alla tekniska lösningar de kom fram till. Men det här inlägget har redan visat sig vara för stort – så det kommer separata artiklar om detta, så håll utkik och prenumerera på vår blogg på Habré.
Källa: will.com