Итоги квеста: комната хакера и победители12.05.2022 13:01

47yysw28fjzkae6g3ucfcyl-ftg.png


Пришло время подвести итоги нашего ежегодного CTF-квеста от команды RUVDS.

Расскажем о последнем этапе, откроем лица и наконец-то объявим победителей, которые беспрерывно квестовались 2,5 месяца!

Искра, буря, безумие — 82 дня борьбы и тысячи сообщений в чате. Криптография, реверс-инжиниринг и самая настоящая матрица. Кто же такой John Roe и зачем он столько времени скрывался?…

Мы знаем, что вы уже заждались этой статьи, потому кратко напомним, чтобы было раньше и пойдём дальше.

Краткое описание предыдущих частей:

  • В первой части мы рассказали про решение первых двух вводных заданиях и объявили приз, анонсировав командный финал.
  • Во второй части разбавили ожидание финала легендарными мемами от участников и сделали разбор ещё одной части квеста.


Итак, после довольно длительного процесса отбора от загадочного John Roe маски были сброшены, и оказалось, что всё это время за анонимусом скрывался давно известный нам хакер по прозвищу Череп. Он завершил набор участников для своих тёмных делишек и выпустил видеообращение, в котором попросил прошедших всё этапы помочь ему получить базы данных, слитые, в свою очередь, другим хакером под ником YK44B12.

2fc55f4fcde9f8134f865ea4d94f04b2.png


К тому времени народ уже с нетерпением ожидал финала и вновь активизировался в чатике дискорда, устроим голосовой мозговой штурм.

Участники не сразу поняли, что от них требуется, но вскоре догадались, что необходимо применить методики OSINT, а далее и навыки веб-сканирования. Они получили доступ к системе видеонаблюдения своей новой цели и застали YK44B12 в собственной квартире:

c4898fc700abb69ff725f6519d25b824.png


А дальше начались три дня непрерывной онлайн-трансляции!

Намётанный глаз довольно быстро обнаружил на столе у хакера флешку и NFC-ключ, который также предстояло взломать почти в самом конце предстоящего пути. После обнаруженного на используемом им виртуальном сервере канала удалённого управления, который он видимо таким способом выставлял для доступа через Интернет, участники получили доступ и к его личному ноутбуку, стоящему в комнате.

Затем, постепенно пробираясь с одной машину на другую, почти как в настоящих пентестах, например, при помощи социальной инженерии заставив его на время вставить флешку с ключевым файлом, а затем небрежно оставить ключ около считывателя, искомые базы были успешно получены и переданы Черепу.

Первая из них была с вымышленного сервиса по доставке полюбившихся участникам пельменей, а именно dadadumplings.ru, в которой содержались как данные их клиентов, так и информация об ассортименте и сделанных заказах:

434347f3577522631a6f2cff1cc808dc.png


Вторая же база была значительно меньше по размеру, но содержала гораздо более ценные (по словам Черепа «мал золотник, да дорог») данные. База называлась ICV, и расшифровка этой аббревиатуры пока не была известна, хотя некоторые предположения можно было сделать исходя из имени таблицы «agents»:

e9cd9b9bfdc2a6f6d8ff4ccdd1d37fc7.png


Все это заняло у участников 3 дня — и это неудивительно, учитывая ту гору вещей (подробнее расскажем чуть позже, в следующих статьях), которую нужно было для этого сделать: yk44b12 хоть и допустил ошибки в своей защите, однако их ведь нужно было ещё найти, изучить и правильно «раскрутить», чтобы получить искомое. Но задача Черепа была успешно выполнена!

c1cd05552bf168ff3f81c6650bf60f4f.png


После чего некоторым могло показаться, что на этом наш квест завершён, однако таймер на трансляции из комнаты пытался на что-то намекнуть…

e--k2h1n8xhheqc8wgxnfyfgfxw.png

А несколько участники ещё не знали, насколько близки к истине их предположения:

7482b5d21c84ef6f360387370ffbae7f.png


cdaabd60e8bb4f6d256725354c370c03.png


88a6a9e8ad3fdf9370ec80f807631783.png


Настроения квестовальщиков можно было описать примерно так:

efb600fd90c82fb35f934c633b773933.png


fe5c45a7570e58a7db006ee35e0744cc.png


Было принято решение немного повеселить ребят и после отсчёта таймера, 02.05.2022 в 00:00:00, на трансляцию вернулся yk44b12 с зажигательным танцем: Но шутки в сторону!

На следующий день (3 мая), когда завершился долгий 15 часовой таймер, на трансляции появилось видео, где было видно, что некий человек увозит важный кейс в белом фургоне.

В это же самое время, участникам, выполнившим задание Черепа, в матрице постучался некто, представившийся агентом ICV Вячеславом Беловым:

0a12593dfd42280e2f35c1610f7ae753.png


И предложил исправиться и остановить Черепа, который в этот момент направлялся с полученными данными заграницу, что и демонстрировала система мониторинга его умной машины:

7bb2e2820fb6d06a0bb3c8e39d3a9c61.png


Сам же Череп (он, кстати, запечатлён на фото ниже, во время выхода из подъезда и посадки в машину) призвал не поддаваться на провокации и продолжать верить ему:

9739d2cb43b2e576d69466c6de7a7c3f.png


fc53bfcffd2b3ba0533d9bad2bd975bc.png


В результате игрокам пришлось спешно делиться на две команды: 4 человека остались верны Черепу, а 8 — решили сыграть против него, присоединившись к агенту (сами игроки зачастую называли его «корпоратом») International Cyber Vigilante. Тем, кто остался с Черепом, требовалось в течение 5 часов защищать от кибератак 5 башен управления умной машиной, которые поочерёдно встречались у него на пути, и каждая из которых в результате взлома могла бы передать машине команду на остановку: тогда Черепа схватили бы агенты ICV.

Команде агента Вячеслава же требовалось перехватить управление любой из этих башен и подать команду на остановку машины. При распределении игроков (кстати, учитывая важность кульминационного момента, игроки были вольны приглашать себе в помощь кого угодно) по командам вспыхнули нешуточные обсуждения, кому же теперь верить:

ddafb2da716cbfcb181fa7b9271da26c.png


955100fb6ab59f0d4d341c2990e68b1d.png


e02ff40f1b7ad6b1d818e17a442662f9.png


Итогом напряжённейшей пятичасовой борьбы за вышки управления, стала победа команды Черепка, которая смогла отстоять своего героя! Будем ждать новых вызовов от него ;)

Судьба Черепа и то, какая же из команд выиграет и вовсе решалось буквально в последние полчаса, когда накал страстей достиг своего апогея и мы буквально отсчитывали последние минутки до того, как машина пересечёт границу.

307266dd3d124d9bad61423054e53334.png


67bf1b1b4f764b7560de500941ae7d77.png


2a6d70b759b8ca332b9a5bc4a7bd24b3.png

Полную версию погони вы можете посмотреть в нашей группе вконтакте.

Мы знаем, что всё кто участвовал в квесте, много вложили в процесс разгадывания задачек, потому, после долгого совещания — решили — победившей команде защитников было предложено разделить сладкий вкус победы с любыми игроками по своему выбору, в том числе и из проигравшей команды, чем они благородно воспользовались. По этическим соображениям, публиковать разбивку по вкладу в окончательную победу, мы не будем — это останется тайной внутри команд. Однако даже тут не обошлось без интересных моментов, один из участников проигравшей команды, решил поделиться своей частью выделенного приза — со своей командой.

Череп сдержал своё обещание, ну, а мы будем чествовать всех активных участников этого квеста. И-и-и-и! фанфары — Победа!

Победители — команда Черепа (комната — yk44b12):

  • kelseyro**
  • krolik**
  • kron**
  • lostinthev**


Они получат свой приз, в размере 142 857 рублей, который разделят по своему усмотрению внутри и за пределами своей группы.

Команда корпората (комната — icv, «Правильный выбор»):

  • prost**
  • k0**
  • not-al**
  • sewma**
  • p.s_man_**
  • zvgol**
  • pab** (до финала не дошел, но был приглашён игроками)
  • petrifi** (до финала не дошел, но был приглашён игроками)


Активные участники, особо отмеченные победителями:

  • free**
  • ross_te**


Поздравляем всех, с официальным завершением этого квеста!

Было бы совсем нечестно обделить проигравшую сторону и тех, кто усиленно участвовал в процессе, но не успел вписаться в финал, потому мы решили подарить команде корпората промокоды на годовую подписку от наших друзей из журнала — Хакер.Также, каждому из списка выше — мы подарим:

  • Особенную футболку из нашего коллекционного мерча, внешний вид которой отразит этот квест.
  • Персональные промокоды на наши услуги (как же без наших серверов ;))
  • Уникальные наклейки и стикерпаки в соцсетях — о них ниже:


У нас же всё-таки интерактивный хакатон? :) Предлагаем вам принять участие в сборе мемов \ скринов, из которых можно будет отрисовать цельный стикерпак для телеграма \ дискорда и конечно же наклеек. Стикер-пак в соцсетях станет достоянием общественности, а вот наклейки мы подарим особым участникам.

Напоследок немного цифр:

Дата начала: 10.02.2022 — первый день раздачи визиток

Дата окончания: 03.05.2022 — последний этап с погоней

Общая продолжительность — 82 дня!

Пиковое количество активных участников: 177

Количества активных участников, которые смогли добраться к финалу и были отмечены призами: 14

Все «жареные» подробности противостояния команд, которые не обошлись и без настоящих историй тактического обмана противника, так же как и подробное описание решённых заданий ожидайте в следующих статьях.

oug5kh6sjydt9llengsiebnp40w.png

© Habrahabr.ru