NeoQUEST-まとめ

計画どおり、2012年3月14日にNeoQUEST-2012を完了しました。 合計ポイントが計算され、勝者が名前が付けられます。 数日中に彼らに連絡し、彼らが誠実にふさわしい賞品をいつ、どこで受け取るかを決定します（メイン賞、クエスト自体に登場した同じMacBookProを含む）。

これで、クエストを要約し、どのようにそれをしたか、どのような困難に遭遇したかについて話すことができます。 そして、もちろん、クエスト自体と、その作成とデバッグの両方に参加したすべての人に感謝します。

最終結果

クエストが公式に終了した日に、登録された参加者の数は1,480人に達しました。 たくさんか少しかはあなた次第です。 私たちにとって別の楽しい瞬間は、競技の開始後に非常に多くの参加者が登録したという事実でした。 これは、クエストに関する情報が配信され、その関心が初期の頃だけではなかったことを意味します。



受賞した賞品：

1. スモークリートチキン
2. BECHED＆Andrey1800。
3. ki11obyte 。

More Smoked Leet Chickenチームは、すべてのタスクを完了しただけでなく、最短時間で完了しました。 彼らは私たちの競争の主な賞を受賞しています。 BECHED＆Andrey1800とkillobyteの参加者には、コンテストの2位と3位の賞が授与されます。 さらに、クエストの最初の段階を完了したすべての参加者には、思い出に残る贈り物が贈られます。 クエストの最初から、エラーや脆弱性を見つけ、クラックされたものやクラックされたものすべてをハッキングするというあなたの活動に驚きました。 あなたは、私たちが決して知らなかったそのような動きを見つけ、私たちが以前に遭遇したことがないそれらの領域を熱心に理解しました。

メモを渡す

クエストが正式に完了したという事実にもかかわらず、タスクのさらに2週間が完了できるようになります。 自分で試してみたい場合は、このセクションをスキップすることをお勧めします。

もちろん、タスクを完了するための説明された方法だけが可能な方法ではありません。 参加者数-合格するための非常に多くのオプション。



NeoQUESTを作成する際、次の目標を追求しました。

• 複雑さと旅行時間の間で妥協点を見つけます。 クエストは、経験豊富なプロのプレイヤーのチームだけでなく、関連する専門分野の上級学生を含む資格のあるコンピューターセキュリティスペシャリストによっても正常に完了する必要があります。 計算によると、すべてのタスクを渡すための正味時間は約10〜12時間でした。
• 一般的なWebセキュリティクエストから離れる。
• プロの活動​​でよく遭遇する状況にタスクを近づけます。 クエストは「芸術のための芸術」であってはなりません。
• 情報セキュリティのさまざまな側面をカバーします。SCADAシステムの保護からステガノグラフィおよびソーシャルエンジニアリングの要素まで。
• タスクを共通の刺激的なプロットと組み合わせて、全体的に興味深いゲームを作成します。

その結果を見てみましょう。 クエストは論理的に5つのセクションに分かれています。

1. Webアプリケーションのセキュリティ（タスク1、2）。 // - !
   
   
   
   
2. 暗号化（タスク3）。 // , ?
   
   
   
   
3. SCADAシステムのセキュリティ（タスク4）。 // …
   
   
   
   
4. Windowsセキュリティ（タスク5、6）。 // …
   
   
   
   
5. コンテナ内の情報を検索します（タスク7、8）。 // …
   
   
   
   

セクション1（タスク1、2）。 Webサーバー：

このセクションのタスクを完了するには、Webアプリケーションの脆弱性、特にSQLインジェクションを特定し、悪用することができれば十分です。 Webサーバーとして、多数のMint + lamppが使用されます。ここには、データベースを操作し、テーブルの内容を表示するための複数のphpスクリプトがあります。 それらの一部には、たとえば脆弱なデータベースクエリなどのエラーが含まれます。

 $id = str_replace( array('_', ']', '[', ')', '(', '$', 'http://', 'ftp://', '/', '.', '+', '=', 'data', 'base64', 'cmd', 'phpinfo()', 'union', 'select', 'from', 'where', 'UNION', 'SELECT', 'FROM', 'WHERE' ), '', $id ); $id = htmlspecialchars($id); $query = "SELECT * FROM news WHERE id=$id";
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

問題を解決する最も簡単なクエリは次のとおりです。

http：//***/news/comments.php？id = 1 uNion sElect 1、名前、パス、4 fRomユーザー



また、サーバーには擬似管理者があり、これは1人のユーザーにのみ表示され、FreeBSD仮想マシンでイメージをダウンロードできます。 管理パネルへのパスは、robots.txtファイルから取得できます。その内容は次のとおりです。



User-agent: *

Disallow: /cgi-bin/

Disallow: /administrador/



セクション2（タスク3）。 ログの解読。 FreeBSD +プロキシ：

このタスクでは、参加者がRC4およびRSA暗号化アルゴリズム、特に暗号化パラメーターの選択と暗号解析の基礎についての知識を持っている必要がありました。

FreeBSD仮想マシンは、RC4アルゴリズムで以前に暗号化されたログを、後でRSAで暗号化されるキーに保存します。 RSAの公開指数の値は、メッセージが数秒で復号化されるように、最小（3に等しい）に選択されます。 番号N（RSAアルゴリズムのキーモジュール）の展開を取得するには、キーレスメッセージ復号化メソッドを使用した攻撃を使用する必要があります： http : //algolist.manual.ru/defence/attack/rsa.php#RSA1 。 対称暗号鍵を受け取ったら、たとえば、 http ：//www.crypo.com/tools/eng_rc4.phpのように、RC4アルゴリズムを使用してログを復号化する必要があります 。

ログには、リアクタとハイダーの2つのアドレスに関するエントリが含まれています。

セクション3（タスク4）。 SCADA。 デフォルトのパスワードは次のとおりです。

WinCCをスカッドとして選択すると、このシステムに固有ではないいくつかの問題に遭遇しました。 WinCCは、NeoQUESTへの参加を断固として望んでいませんでした。特に、オペレーティングシステムの更新を完全に拒否し、「非常に明白な」脆弱性を未解決のままにしていました。 一部の参加者はこれらの脆弱性を使用してスカッドを「破壊」しましたが、これを予想しており、イベントのそのような展開に備えていました。

スキームはWinCCに展開されており（伝説によると、LNPPリアクター）、アクセスされると、Webインターフェースを介して必要なフラグが発行されます。 Webアクセス用にデフォルトのパスワードが設定されています。これは、WinCCのドキュメントに記載されています。

セクション4（タスク5、6）。 Windows：

このセクションのタスクでは、Windowsのカスタムバージョンのセキュリティ面について説明しました。 参加者が合格するには、Windowsがファイルアクセス権を決定する方法（特に、所有者特権を与えるもの）、オペレーティングシステムへのアクセスを増やす方法（特権エスカレーションの脆弱性など）を知る必要があります。 仮想マシン（800メートル！）のイメージを配布するために、p2pネットワーク（トレント）を使用することが決定されました。これにより、プレーヤーにとってより便利になり、あらゆる条件で通常の速度を維持できます。 最初の部分では、システム管理者のみがアクセスできるフォルダーからファイルを開く必要があります。 このために、特権エスカレーションエクスプロイトを起動する必要があると計画されていましたが、別の方法（はるかに簡単）がありました-LiveCDから起動するか、仮想ディスクを別の仮想マシンに接続します。 2番目の方法（LiveCDを使用）を複雑にし、参加者を（エクスプロイトを使用して）最初の方法にプッシュするために、あらゆる方法で試みました。 これを行うには、ビルトイン管理者アカウントを無効にします。 特権エスカレーションエクスプロイトが広く知られている「経験豊富なユーザー」を作成しました。 暗号化されたTrueCryptパーティションを作成し、視界から削除しました。 管理者としてログインしたときにのみ自動的にマウントされるようにします。 そして、悪用されたソース（もちろん、少しエラーがありますが、それでもタスクはずっと簡単になります）がデスクトップに投げ出されました。

管理者権限を取得した後、コンテナにアクセスするには、確立されたファイル権限を少し試す必要があります。

セクション5（タスク7、8）。 コンテナ分析：

これらのタスクを完了するには、少しサブアセンブルし、ソーシャルエンジニアリングに少し触れて、論理的に推論する必要があります。 結果のフラグは、コンテナ内に隠されているexeファイルを生成します。 図は、コンテナ図を示しています。











暗号化されたセクションのディレクトリ内には、vk.comからのユーザーIDを示すPNGファイルがあります。 このページにはいくつかのヒントがあります。 アーカイブはPNGの最後に追加され、ファイル拡張子をPNGからRARに変更すると、アーカイブとして開きます。 データはパスワードでアーカイブされ、そのアルゴリズムはVKページのユーザーステータスで示されます。 アーカイブ内にはWAVファイルのように見えるファイルがあります（聴くことさえできます）が、実際にはWAVからのヘッダーを持つ詰まったexeです（これに関するヒントもVKにあります）。 xorのキーは、PNG画像で偽装されています。 実行可能ファイルはキーを入力として受け入れ、最後のフラグを発行します。

回避すべき組織上の問題

私たちのチームにとって、これはそのようなイベントを開催する最初の経験でしたが、今や行われた作業の結果に応じて、私たちはどのように異なってやらなければならなかったかを言うことができます。 主な結論は、おそらく次のとおりです。

1. ウェブホスティングなし（またはタイムテスト済み）。 NeoQUEST-2012の開発を開始したとき、登録フォームを一部のホスティングに掛けるべきだと判断しました。 彼らは、単純なサイトでは問題はないはずだと考えました。 ここで私たちは間違っていました。 メインパッドは、この特定の問題に関連付けられていました。 ホスティングは、単純な登録サイトにも耐えられませんでした。 彼は絶えずcrash落し、問題をすばやく整理しようとすると、ホスト側のさまざまな人々との電話と調整の無限の官僚的なチェーンを受け取りました。彼らは追加の責任を負いたくありませんでした。 「サーバーを再起動できるのは管理者のみであり、月曜日より前にはなりません。」 いいえ、会社も理解できます。私たちは彼らの唯一の顧客ではなく、彼らはまだ問題を解決しています。 適切でタイムリーな結果が必要な場合は、古代のルールを覚えておくとよいでしょう。「何かをうまくやりたいのなら、自分でやる」。
2. サーバーをレンタルするときは十分に注意する必要があります。 サーバーレンタルには長所と短所があります。 このサイトでは、24時間サーバーへの物理的なアクセスを許可していないため、サーバーを横に借りることにしました。 このソリューションの利点は明らかであるように思われます-メインサイトで突然発生する可能性のある困難（週末の停電など）に依存していないため、このサーバーの24時間体制で勤務する必要はありません。 しかし、いいえ、そして予期せぬ驚きが私たちを待っていました。 たとえば、知らされていないネットワークを再構成するというサーバーベンダーによる突然の決定。 結論は前の段落と同じです。

登録期間全体を通じて、ここでHabréと他のサイトの両方で行われたコメントとコメントを注意深く監視し、妨害をすばやく修正しようとしました。 それらについて私たちに知らせてくれたすべての人に感謝します。

結論と謝辞

ハッククエストは、入門者にとっては一種の休息と娯楽です。 そして、宣言された重要な目標（および一部のコメンテーターが私たちに帰した不吉な秘密の目標）にもかかわらず、チーム全体にとって、NeoQUESTはそもそも興味深いハッカーゲームを作成する機会となりました。 クエストの通過中に、私たちが準備したときと同じくらいの喜びを得たことを願っています。 すでに述べたように、これは当社にとってこのような作業の最初の経験でした。この経験は珍しく、有用で、刺激的であり、そこで止まるつもりはありません。



当社を代表して、心から感謝します。

• プロジェクトの作成とサポートに時間の大部分を費やしたダニラとボソン。
• ビデオの撮影に参加したすべての人。
• テーマのネットワークリソースに関する友人や同僚が、クエストの運命に無関心ではなく、Webでのクエストについて話し合った（ときどき非常に思いがけないこともありました！）
• ここ、Habré、および他のリソースで回答したすべての人、およびサポートのエラーや誤算について私たちに書いたすべての人-これは、時間内に大きなジャムをキャッチし（登録フォームの崩壊）、小さなものをすばやくレタッチしました（時間単位を考慮していないカウントダウンタイマーなど）ベルト、または都市入力フィールドの無効な文字など）
• そして、もちろん、すべての参加者と受賞者は、あなたがNeoQUESTに興味を持ち、あなたの忍耐と活動のためにパズルを解くために時間を割かなかったという事実のために。

私たちはうまく協力し、皆様にさらなる協力をお願いします！

みんなに感謝し、次のNeoQUESTでお会いしましょう！