Кілька днів тому ми завершили одну з найемоційніше заряджених подій, яку нам пощастило проводити в рамках блогу — хакерську онлайн-гру зі знищенням сервера.
Результати перевершили всі наші очікування: учасники не просто взяли участь, а швидко організувалися у злагоджене ком'юніті із 620 осіб у дискорді, яке буквально штурмом узяло квест за дві доби без перерви на сон.
І ось як це закінчилося:
Як все починалося і про що взагалі йдеться?
Гра розпочалася 12 серпня, коли ми виклали у блозі з відеороликом, в якому хакер в образі черепа пропонує зіграти в гру, знищити сервер, влаштувати в кімнаті коротке замикання (ну або міні-пожежу) і забрати гроші, що залишилися в шредері.
Це був онлайн-квест: ми запустили ютуб-трансляцію з кімнати, яку заповнили iot-пристроями, підліжковим сервером (який треба було знищити), а над сервером закріпили акваріум і підвісили над ним гирю. Щоб гра була гостросюжетнішою, ми вирішили зробити призовий фонд у 200 000 рублів, який завантажили в шредер і налаштували його на включення кожні 60 хвилин. Щогодини шредер з'їдав по 1000 рублів - чим раніше гравці зупинили б його, тим більше грошей виграли б.
Будувати цей квест було саме по собі квестом — нам довелося харчуватися однією доставкою і спати кілька годин на добу прямо в тій же кімнаті. Але найдивовижнішим було спостерігати за польотом думки гравців та їхньою емоційною віддачею у процесі.
Якщо чесно, то винахідливість гравців у розгадці завдань перевершила наш скромний задум у багато разів: кожну вільну хвилину ми читали чат дискорду і в деяких випадках буквально плакали від сміху, дізнаючись, чим займаються гравці і як вони жартують у процесі.
Над проектом не покладаючи рук працювали 7 осіб: бекендер, спеціаліст-хардващик, справжній кінопродюсер, CG-дизайнер та два ідейні натхненники-співпродюсери.
Ми розповімо в наступних постах, як саме квест був реалізований з технічного погляду, а поки що я розповім його розгадку: як саме треба було хакати цю кімнату на трансляції. Заодно згадаємо хронологію подій, а також усі шалені ілюмінатські теорії з чатика дискорду та все.
Що було у гравців на початку гри
Усі предмети у кімнаті ділилися на три категорії:
- Прості в управлінні, не ігрові пристрої iot
- Ігрові пристрої для проходження квесту
- антураж
Ми розмістили 8 дуже простих в управлінні елементів: дві лампи, одну гірлянду, п'ять літер СОКОЛ, кожною з яких можна було змінювати колір. Все це можна було включати/вимикати прямо з сайту та одразу бачити результат на трансляції — ми спеціально зробили їх доступними для всіх гравців, незалежно від рівня технічної підкованості.
Все, що просто включалося із сайту
З важливих ігрових елементів, які були потрібні для проходження квесту, і доступ до яких, було не так просто отримати:
- Сервер з відкритою кришкою та акваріумом над ним
- Гиря, підвішена так, щоб розбити акваріум
- Мегатрон 3000 - потужна лазерна указка, спрямована на мотузку, яка тримає гирю.
- Потужний вентилятор, який запускався під час навантаження на сервер
- Фліпчарт, на якому були написані логін та пароль до Мегатрону
- Телефон, на який можна було зателефонувати та побачити свій дзвінок у прямому ефірі
- Шредер, який поїдав по 1000-рублевому папірці на годину
Як саме розгадувався квест
Скажу відразу: скринька відкривалася досить просто.
Метою гри було зупинити шредер, влаштувавши у кімнаті коротке замикання. Для цього треба було розбити акваріум, запустивши в неї гирю та залити водою сервер. Гіря трималася на шнурку, на який був націлений Мегатрон. Захопивши керування Мегатроном, мотузку можна було перерізати. Це робилося за 5 простих кроків:
Крок 1. Навантажити сервер, що стоїть у кімнаті
Наприклад, надсилаючи пакети командою.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaПідказкою була дуже вантажила на .
Та сама капча, яку треба було атакувати
Під час навантаження сервера підвищувалася його температура і це можна було відстежити на моніторингу, відкритому перед камерою. Слідом включався вентилятор, який відкривав легку фіранку на фліпчарті. Тоді відкривався написаний на дошці логін та пароль доступу до сторінки Мегатрона.
А сторінку управління Мегатроном можна було знайти, перевіривши всі сертифікати, випущені на домен ooosokol.ru.
На піддомені була сторінка управління Мегатроном. Але вона не відкривалася, доки на Мегатрон не подадуть первинне харчування.
Всі ці етапи гравці пройшли майже одразу у коментарях трансляції на youtube. Далі завдання були складнішими і гравці створили дискорд-сервер RUVDS Hack Room і продовжили обговорення там.
Крок 2. Подати первинне харчування на Мегатрон
Усі розумні пристрої, керовані з сайту (ті самі світильники, які безупинно включали або вимикали гравці) мали свої ідентифікатори.
Щоб подати первинне харчування на Мегатрон і заразом підсвітити його, потрібно було знайти і включити прихований пристрій на сторінці управління офісом.
Для цього потрібно було подивитися на ідентифікатори пристроїв і помітити всього пристроїв 4, а на сайті доступно тільки 3.
Сторінка Мегатрона при включенні 4-го пристрою ставала доступною і сам лазер підсвічувався. Але при цьому стріляти лазером було неможливо, а на його висіло повідомлення, що лазер поки недоступний і підказка: в офісі вибило пробки, треба дзвонити в компанію, що управляє, і просити подати харчування.
Підказка про керуючу компанію
3. Додзвонитися до компанії, що управляє, і попросити включити харчування Мегатрону
По ЛОР Мегатрон не міг вистрілити, тому що в офісі вибило пробки. Включити живлення назад могла тільки керуюча компанія, до якої треба було додзвонитися та пройти ідентифікацію як власник ТОВ.
Знайти номер керуючої компанії було легко - ми вставили її прямо у футер.
А ось пройти ідентифікацію було набагато складніше.
При дзвінку на номер +74991130688, слухавку піднімала дівчина-оператор і нудним голосом просила назвати ІПН компанії та повне ПІБ власника. Без цього вмикати харчування вона відмовлялася і пояснювала це тим, що вона звичайна диспетчерська на аутсорсі, у них 2000 клієнтів та офісів і без цієї інформації знайти потрібний просто не виходить.
Для гравців це виявилося найскладнішим етапом. Правильні ІПН та ПІБ власника шукали майже дві доби, а я (в особі оператора диспетчерської) за цей час прийняла понад 400 дзвінків. Телефон дзвонив кожні 2-3 хвилини.
Хлопці копали, як могли. У хід йшло все: вони потрошили вихідники сайту, гуглили власника сайту Соколова, пробивали соцмережами.
Вони шукали ІПН різних компаній
Майже повна схема пошуку
Якоїсь миті навіть зателефонували з заміною номера — ніби дзвонили з офісу компанії Сокіл, вказаної у футері.
Тоді ми дізналися, яка величезна кількість компаній зветься Сокіл. Практично кожній із цих компаній додзвонювалися гравці, але це не йшло ні в яке порівняння з тим, що пережив сайт , у яких ми дійсно купували цей Мегатрон близько місяця тому.
Спочатку дискорд атакував підтримку Лазерсмастерс.
Потім змогли знайти там чийсь обліковий запис! Тоді як підтримка Лазермастерс вже перестала скупитися на висловлювання.
Обережно приберіть дітей від екрану
Зрештою, вирішили Лазермастерс просто заддосить і їхній сайт впав. Як і вдалося покласти і сайт Сокола, хоча ми його швидко підняли.
У ході розслідування хлопці з дискорду навіть знайшли актора, фотографію якого ми купили зі стоків, щоб він зіграв роль головного антагоніста, власника ТОВ Андрія Соколова. Виявилося, його звуть Юрій і він зовсім не в курсі, в яку заварушку потрапив.
Андрій Соколов, персонаж гри
Юрій, модель
Якби він знав, як змусив 600 людей не спати дві доби…)
Потім копати вже почали саме під мене, як під організатора квесту (що цілком могло б закінчитися успіхом, якби хлопці здогадалися зламати мої робочі канали).
Я навіть трохи занепокоїлася, коли вони назвали моє по батькові і навіть ІПН. Але лягло, коли в процесі роботи зіпсованого телефону в мене раптом з'явився старший брат, який раптово виявився технічним директором Хабра.
Мій любий рідний брат, якому теж перепало
Тим часом здогади ставали дедалі неймовірнішими і неймовірнішими.
І дійшло до ілюмінатських теорій.
Найсоковитіші теорії змови стосувалися Спанч Боба, Гаррі Поттера та миготіння китайської діодної гірлянди, яку ми поклали всередину системного блоку.
Звідки Спанч Боб та Гаррі Поттер, скажете ви? Ми засунули їхні адреси на сторінку контактів Сокола та це породило масу припущень у дискорд-спільноті. Хоча ми просто хотіли віддати данину своїм улюбленим творам дитинства.
Те саме посилання на сторінці ""
І в результаті
Виявилося, що в серіалі справді є документи Губки Боба. Їх називали як ІПН
Одна з найскладніших теорій була про те, що в блиманні китайської гірлянди зашито повідомлення азбукою морзе.
Мерехтіння записували і намагалися розшифрувати
З простих теорій — хлопці намагалися зрозуміти, чи не зашита підказка в картах.
Дорогою нас порівнювали з - Незаслужено висока оцінка, але все одно приємна.
Гравці пробували соціальну інженерію. Мені дзвонили під виглядом ФСБ, пожежників, самого Соколова, його колишньої дружини та охоронця, який нібито сидить у нас унизу. Говорили, що почалася пожежа, хтось застряг у ліфті, а найнесамовитіша історія була про те, що в офісі, охопленому вогнем, нібито сидить собачка, яка дзвонила.
Спроби підкупу також були
Потихеньку в чаті почали з'являтися власні меми.
Ось парочка
А заводи тим часом простоювали
Підказка
Грошей у шредері ставало дедалі менше. Щоб переможцю дісталося хоч щось, ми вирішили підказати. Заодно, наслідуючи правила геймдизайну, прямо перед фіналом підняти напругу.
Окремим у блозі ми виклали ролик. На початку було вставлено шматочок із Бійцівського Клубу — як відсилання до Тайлера Дердена, який думав вставкою 25-го кадру у фільми, поки працював у кінотеатрах.
Ми вирішили застосувати цю ж механіку і вставили 25 кадром підказку, як вірний ІПН та ПІБ власника.
Після цього хлопці розібралися дуже швидко
Крок 4. Постріляти лазером у не-бойовому режимі
При подачі живлення керуючою компанією та після включення пробок, Мегатрон вмикався і міг стріляти в тестовому режимі. У форму для введення вже було підставлено токен для тестового пострілу.
Кожні 25 секунд генерувався новий токен, його можна було використовувати, щоб увімкнути лазер на 10 секунд на потужності 10/255
Потім лазер охолоджувався 1 хвилину і цієї хвилини був недоступний, не приймав нові запити на постріл.
Цій потужності зовсім не вистачало для того, щоб перепалити мотузку, але будь-який гравець міг пульнути з Мегатрона і побачити лазерний промінь у дії.
Реакція спільноти була більш ніж бурхливою
Але всі швидко заспокоїлися та зрозуміли, що це ще не кінець гри
Далі співтовариство почало розбиратися, як запустити бойовий режим.
Брейншторм
У дискорді з'явилися фейки
Ми не знали, що на ніжці столу на трансляції щось написано
Спільнота підійшла до кроку 4. Розібратися, як генеруються токени: знайти gist та згенерувати токен, який включає лазер у бойовому режимі
Бойовий режим Мегатрону - це 100% потужність лазера 3 Вт. Цього цілком достатньо на 2 хвилини, щоб перепалити мотузку, яка тримала гирю, розбити акваріум і залити сервер водою.
Ми залишили кілька підказок на : а саме код генерації токена, яким можна було зрозуміти, що тестовий і бойовий токени генеруються на основі одного показника лічильника. У разі бойового токена, крім значення лічильника, ще використовується сіль, яку майже повністю залишили в історії зміні цього gist, за винятком двох останніх символів.
Як всі швидко здогадалися, це було 42
У коментарях гіста було листування Андрія Соколова з розробником («мудрий розробник», як назвали його хлопці з дискорду).
У листуванні Андрій надсилав один із бойових токенів, а розробник відповів, що цей токен був ініціалізований при значенні лічильника 42.
Знаючи ці дані, можна було перебрати 2 останні символи солі і фактично з'ясувати, що для неї використовувалися числа з Lost, переведені в 16-річну систему.
Далі гравцям залишалося зловити значення лічильника (проаналізувавши тестовий токен) та згенерувати бойовий токен, використовуючи наступне значення лічильника та підібрану на минулому кроці сіль.
Лічильник просто інкрементувався при кожному тестовому пострілі та кожні 25 секунд. Про це ми ніде не писали, це мало бути невеликою ігровою несподіванкою. Хлопці з цим дуже швидко розібралися та запустили мегатрон у бойовому режимі.
Крок 5. Перепалити лазером мотузку
Як це було
Тут усе просто. Відправка бойового токена включала лазер у бойовий режим, а кімната змінювалася і приходила до «режиму катастрофи», як ми це називали в загальному сценарії:
- Вимикався весь світ у кімнаті
- Кнопки iot-девайсів на сайті ставали недоступними.
- Вмикалася мигалка та звук сирени
- Червона гиря підсвічувалася
- На екрані телевізора починався зворотний відлік до запуску лазера у бойовий режим
Ми дали на зворотний відлік півтори години, щоб усі, хто грав, встигли включити трансляцію та побачити фінал. І не дарма: поки я із завмиранням серця чекала звуку удару і скла, що розбивається, з сусідньої кімнати, вся команда, яка будувала квест, не змовляючись, почали виїжджати на базу, щоб побачити фінал на власні очі. Вони просто забігали до кімнати та починали обійматися.
Тим часом у дискорді
Після закінчення зворотного відліку лазер включився в бойовий і за дві хвилини перепалив мотузку — гиря полетіла прямо в акваріум. Перед ударом на екрані закричала шалена капібара, в паніці піднявши маленькі лапки.
Раз вся команда зібралася там, ми зняли невелике звернення всім, хто дві доби боровся за фінал з дискорді і пішли відкривати шампанське:
Як ми прорахували час запуску рекламних відеороликів та політ гирі?
Після десятка тестів перепалювання мотузки лазером ми зрозуміли, що це дуже ненадійна конструкція — напівпрожжена мотузка стає тоншою, під вагою гирі натягувалася, міняла розташування і лазер уже не міг прорізати її до кінця.
Тому ми пішли іншим шляхом: задублювали перепалювання, обмотавши мотузку ніхромовою ниткою. Через нитку пускали струм, вона розпалювалася дочервона і перепалювала мотузку приблизно за 2 секунди - це давало нам точні розуміння коли включати кричачу капібару, зупиняти таймер запуску і запускати рекламний ролик:
Що нам не вийшло?
У фіналі із системного блоку мав піти густий дим, як під час пожежі — ми приготували димові шашки, запалювали їх аналогічним чином, але вони чомусь не спрацювали (ймовірно через воду).
Хто ж переможець?
Переможцем вийшов Аркадій Алексєєв з Санкт-Петербурга - саме він першим згенерував тестовий токен і виграв гроші, що залишилися в шредері в розмірі 134 000 рублів.
Невелике інтерв'ю з Аркадієм.
Розкажи про себе, чим займаєшся на роботі?
За освітою я безпечний, закінчив БІТ в ІТМО. Працюю фулстек-веб-розробником на аутсорсі. У школі був олімпіадником, у тому числі з програмування та математики.
Як дізнався про гру?
Зайшов на Хабр просто почитати, побачив статтю, зацікавився.
Скільки годин грав, коли приєднався?
Приєднався увечері того дня, коли виклали статтю (тобто за добу до кінця). Посидів вечір і чималу частину наступного дня.
Що сподобалося, що ні?
В цілому сподобалося все (ще б пак, я ж виграв)), але трохи напружив момент зі дзвінками. Ну типу дзвонити і перевіряти кожну версію якось не дуже, як мінімум ніяково було — я ж розумів, що там таких ще кілька десятків дзвонить, половина жартує і намагається в соцінженерію.
Як ти зрозумів, як знайти бойовий токен до мегатрону?
Коли я зайшов, вже згадали сервер, потикали лампочки, знайшли пароль від адмінки лазера, всілякі піддомени та сторінки.
Ще легко було знайти профіль на гітхабі та гіст із коментами. Звідти очевидний процес генерації токена і secret для нього. У таких квестах не потрібно дуже винаходити імхо, тому що можна потонути в купі варіантів розвитку подій; і відповідно треба прямувати туди, куди тебе штовхає творець квесту.
З урахуванням інших піддоменів та тестового сайту на тільді, було ясно, що після подачі харчування на лазер треба буде підібрати токен. Відповідно ще того ж вечора я накидав зразковий запит на включення лазера (на підставі 4х доступних форм: 1 на робочому сайті і 3 на тестовому/старому) і спробував побрутити робочими токенами починаючи з 42 (ну так, на дурня — раптом там уже все включено, а сторінку з відправкою токена просто відкриють після ІПН та ПІБ).
Не впевнений, що запит був вірний, тому що перевіряти не було часу (адже перевірити можна було лише включення лазера), але до перебору токена я готувався заздалегідь.
Ще там була очевидна логіка з вебсокетами та управлінням пристроїв у app.js-файлі. Там був жирний натяк на a9 пристрій, під час відправлення power: true на який сокет фарбувався. Я спробував будь-яке на нього відправляти — мало, там міг бути додатковий пристрій для розгадки ІПН, але без успіхів.
Потім я ще погрів інші айдішники поруч з тими десятьма, але скрізь було unknown device. Ще спробував погуглити всяке, залізти на [захищено електронною поштою], відправляв всяке у формі на сторінці прайс-листа, покопався з майстрами, але все без успіхів. Наступного дня сидів у чаті, гуглив всяке, потім спливла стего-тема і я порадився з людиною стегсолв для картинок і гіфок (але розумом розумів, що 99% там нічого немає, бо це було б надто протиріччя з основною лінією квесту) .
Але в результаті теж кілька годин сидів і копався у всіх пікчах і гіфках. Ще кілька разів дзвонив з різними варіантами ІПН, але повз. Потім уже вирішив підзабити, але там підказку виклали — і стало ясно, що найближчим часом ІПН знайдуть, що й сталося. Потім чи то я, чи хтось ще (там не очевидно) відправив power: true на а9-пристрій і лазер заробив, хоча можливо тут зв'язку немає і він запрацював просто після ІПН. Загалом, зайшов в адмінку лазера і чимало здивувався, тому що сервер сам надсилав токен (а то вже готувався брутувати). Стало очевидно, що токен тестовий, оскільки трансляція + здоровий глузд + я його перевірив.
У коді була логіка відправки робочого токена кудись нотифікацією, але, мабуть, або це був неправильний код, або це було потрібно для інших елементів системи. Я накидав скрипт для отримання поточного робочого токена з поточного тестового і став сидіти на ф5, намагаючись їх відправити - з цим були проблеми, тому що всі постійно тицяли кнопку відправки по можливості, тим самим змінюючи токен. Потім сайт впав, лічильник скинувся, але вже не суть — через деякий час я відправив робочий токен. За ідеєю лічильник був 58 і токен был 449a776938f7ce4cf19f8603045dca0f на момент активації, якщо не помиляюсь. Власне, все.
Потім у мене ще трохи підгоріло від коментів а ля «та це все тривіально, та пощастило простий». Ну, якщо зайти на сторінку, подумати хвилинку, написати скрипт за пару хвилин, перевірити його — так, тривіально. Але я зробив це секунд за 10-20 і потім просто кілька хвилин не міг відправити токен.
Звичайно, можна було спробувати написати логіку для підхоплення та відправки автоматом, але це вже довше і великий ризик, плюс напевно клауд почав би сваритися. Ось із чим мені дійсно пощастило, так це з останнім етапом — трохи алгоритмів на швидкість + швидкість реакції, це пряме моє. Якби там було завдання безпосередньо з пентесту, я не став би першим, швидше за все.
Але це ще не кінець
Мені зовсім не терпиться розповісти вам про всю чудову команду, яка будувала цей квест і всі інженерні рішення, які вона знаходила. Але цей пост і так вийшов надто величезним — тому про це будуть окремі статті, тому stay tuned і підписуйтесь на наш блог на Хабрі.
Джерело: habr.com