Как стать автором
Обновить

Хакните и остановите шредер, в который загружено 200к, устройте короткое замыкание и пожар

Время на прочтение 1 мин
Количество просмотров 57K
Всего голосов 125: ↑116 и ↓9 +107
Комментарии 164

Комментарии 164

> и теперь имею выделенный сервак за 0 рублей в месяц

Подскажите, где берёте бессплатную электроэнергию?

Все просто — шерстяные штаны

Хочется заранее уточнить. Если я остановлю шредер — я получу спасенную сумму? Или грамоту с указанием спасенной суммы?

Да, получите

Вы получите настоящие деньги. Все, что успело не уйти в шредер

У вас с самого начала была какая-то тактика и вы её придерживались?

Да, разумеется. Все строго по сценарию

Задача остановить шредер? Любыми способами, правильно?

Верно

Адресок не подскажете?

Попробуйте найти
Они и не скрывают…
1 из 2х
ooosokol.ru/contacts

Место трансляции может быть где угодно.

А как вы поймете что шредер остановил именно я а не кто-то другой?

Честное пионерское — это я остановил :)
Особенно если его остановят, вырубив свет в офисе, как планируют в комментах на ютьюбе… (Главное, чтобы там ИБП не было и программы самоуничтожения всего и сразу в этом случае)

Я тоже планировал самым простым способом — рубильником его остановить )

Мы все зарезервировали, но ничего не мешает вам попробовать

Скорее всего мониторинг накручен. Ну и можешь сам след оставить. На принтаке напечатать ник, например)

Победителю надо будет рассказать алгоритм взлома
> рассказать алгоритм взлома
позвонить на телефон через sip, получить через кривую маршрутизацию ip телефона, загрузить проц на 100% из подсети (или с телефона), кто то что то сдует, что то куда то упадет и всё?)

Не вполне :)
Там надо было понять, как генерируется боевой токен для лазера — это самая сложная часть квеста

Это специально оно хостится на cloudflare?

Присоедияюсь к вопросу. Оно специально 522 (timed out) отдаёт, или это хабраэффект?

Ruvds, вы решили cloudflare заддосить?

Ни в коем случае, просто игра не должна быть слишком простой
НЛО прилетело и опубликовало эту надпись здесь

Это графана, сорцом может быть что угодно, в принципе.

НЛО прилетело и опубликовало эту надпись здесь
Что если вызвать МЧС или пожарных)?
Мы запаслись огнетушителями)
хотя можно позвонить в газовую службу и сообщить об утечке тогда могут вырубить свет. Не знаю смотрял ли они на наличие подведённого газа вообще.))
Мне кажется, что Андрей запасся генераторами, но точно знать не могу)

Отчество у Андрея, Викторович?)

Если рядом с офисом нет живых людей, то можно подогнать цистерну с жидким азотом и в момент выключения света поливать помещение азотом. Нужно целиться в вентиляцию. Это вытеснит кислород из помещения и генераторы не заведутся.
А вы уже нашли, где находится офис?
отсылка к гари поттеру и спанчбобу, что ли).
Не даёте поработать прям).

Прогресс есть но пароль и логин не подходят, хотя в открытую висят (да ещё это устройство — «5eb55c8069be7a0cffb193a9» не даёт покоя)

Очень интересный квест), спасибо, ну времени нет долго сидеть(( у меня, интересно будет узнать разгадку если никто не взломает)
Рада что понравилась! Мы всей командой чуть костьми не легли, пока делали :)

Про разгадку будет отдельный пост)
ooosokol.ru/login

логин MEGATRON
пароль BNEMET
но дальше кидает на 404 страницу

Дальше надо в адресную строку после /megatron/ что-то пробовать подставлять, пока не получится. С index.html не получилось, но ведь вариантов ещё очень много.

С той же целью, что и настоящие купюры в шредере ;-)
Какие ограничения по взаимодействию с офисом есть? Чего делать нельзя?
Все, что вы можете сделать — можно :)
В своё время был подписан на журнал ][ — не то чтобы я прям на практике применял многие знания (и понимал всё написанное), но было интересно почитать, истории всякие. А сейчас понимаю, что стал старым, что вместо просмотра кода страницы первым делом прочитал текст на сайте, позабыв про шредер )) Молодцы RUVDS, интересная движуха, давайте побольше таких!
Спасибо! Хакер тоже любим, вспоминаем с теплом
Я хочу ускорить шредер, это возможно?
Попробуйте.
Неужели прям настоящие купюры уничтожаются?
Да
Может всё-таки лучше было нарисованные деньги в шредер засовывать?
В чем логика уничтожения реальных денег?
Добавляет остроты игре. И это довольно эффектно и брутально.
Если игра провалится и никто не разгадает загадку вы хоть скажите ответ, скажите как нужно было хакнуть и где были подсказки?
Надо просто позвонить говорящему черепу, он отключит.
Уничтожение денег — это вообще законно? Вроде бы в некоторых странах это карается
С рублями можно делать что угодно)

В интернетах пишут, если задокументировать уничтожение купюр продемонстрировав их серийные номера, то в банке можно будет получить новые. По-крайней мере это работает с долларами

мы пришлем вам все, что перережем, чтобы вы убедились
Если предварительно склеите, будет вообще замечательно.
А если склеят и обменяют в банке как повреждённые, а потом пришлют — будет вообще идеально.
Это гениально! Прям вот очень круто придумано, а что в дискорде творится — это прям отдельное чтиво — люди считают моргание лампочки, теории заговора и проверили уже все доступные номера в видео! Мне кажется если бы весь маркетинг был такого уровня — никто бы не работал а залипал в такие штуки ))
Ждем кулхацкеров, которые смогут справиться с заданием
Я не настолько умный, но своим уже всем разослал :)
а на номер с сайта звонили?)
да, тишина в ответ, телефон на столе не зазвонил :(
13% налогов с выигрыша надо будет платить?
Непременно
НДФЛ мы за вас заплатим
Я ничего не понял, настоящие деньги в шредере режутся? По чеснаку? Если шредре не остановят, то мир реально потеряет 200 штук?
Да. Но в ваших руках остановить это
Полагаю разрезанные деньги можно обменять в банке на цельные, при условии сохранности 50% банкноты.
50% только если склеить одну купюру из двух «половинок», каждая из которых чуть больше 50%

Сначала люди пишут вот такое^^^, а потом эти же люди возмущаются, что в голосовании получилось 146%...

Ну да, половина не может быть «большей» или «меньшей», а большая половина населения этого не понимает…
«половинок» — не просто так в кавычках. По ссылке подробно разъяснено.

Это как? Из остатков двух разных купюр сделать одну, имеется в виду?

Ну по ссылке же нормально написано.
Если банкнота полностью порвалась или ее порезали, ее можно склеить и отнести на обмен в банк. Из кусочков надо собрать не менее 55% от полной площади банкноты, при этом важно, чтобы все фрагменты принадлежали одной купюре.

Вы можете собрать банкноту-Франкенштейна, если у вас есть две поврежденных банкноты одного номинала и они по рисунку складываются в одну банкноту. Главное условие — каждая из частей должна составлять не меньше 50% от полной площади банкноты.
Я как-то в сбере менял порванную купюру в 500 р., у них есть специальная приспособа, прозрачная сетка, они ее накладывают на купюру и определяют больше ли чем 50% там. Если все ок, то меняют сразу же…
Сейф в правом верхнем углу, по-моему, использовался на последнем ZeroNights и в нем прятали Proxmark3 )
Все может быть :)

Да, это мой ящик, ребята попросили когда строили квест.

Думаю ключ в «Следуйте зову сердца»
Это как раз активно обсуждается в дискорде
Звучит как намёк на heartbleed.
А может потом организовать ИИ соревнование по собиранию купюр из шредера обратно в банкноты?
Интересно, насколько оно автономное. Если, например, устроить флуд в эфире одним из устройств и положить частоты? Или начать слать поддельные пакеты, чтобы вызвать deauth всего в радиусе?

А при чем здесь радио, не понимаю. Или вы смогли какие-то компьютеры взломать?

Так-так-так… А факс я могу в офис отправить?

Вам виднее что вы можете, а что нет.

Ну на телефон на столе точно можно звонить, видно как он загорается.

Это как-будто фильм Пила, но страдают не люди а деньги
А вслед за деньгами и люди, которые наблюдают за этим :)
  1. СОК, ОКО, КОЛ, СКОЛ.
  2. Морзянка, в т.ч. сверхмедленная.
  3. Студий может быть две, обставленных абсолютно одинаково, когда у кулхацкера начнёт получаться, трансляцию переключат на вторую студию, чтобы он подумал, что не получается. Или закольцуют видео, как в фильме "Скорость".
Еще проще можно сделать, решение задачи сделать не очевидное и очень запутанное. Тогда просто никто не решит, платить никому не нужно.

В общем думаю что надо не шредер взламывать, а уронить на его что-нибудь. Куча всякой фигни в комнате наверняка замаскированная машина Гольдберга. Какая-то фигня начнёт действовать, что-нибудь толкнет, потом аквариум на контакты падает и тд..

Побуду кэпом.
Что-то мне подсказывает, что эта гиря на цепи и аквариум на «сервере» как-то связаны между собой.

В КДПВ это явно видно. Если это не отвод глаз

КДПВ обманывает. Никакой рыбки в стриме нет. Что намекает на то, что это всё же должно произойти в итоге.
Да сразу понятно, что КДПВ обманывает, там гигантские деньги фотошопом порезаны
Веб-студия Сокол (по ссылке) — создано в ворде?
Вы реально ОЧЕНЬ сильно подготовились)
Судя по данным с гитхаба, начали готовиться 20 дней назад.

Больше. Причём, заморочились с реестрами компаний

Если победитель попросит выслать порезанные деньги после шредера, вы вышлите их или нет?
Нет, по правилам игры, победитель получает все, что не порезано)
Так это лично ему, не победителю
Вроде всё логично. Всё порезанное они отправят Mimizavr, если победителем будет не он — то будет затруднительно отправить одни и те же обрезки двум людям.
Вот и ответ на вопрос всех пользователей, реальные ли там деньги? Ответ нет, там макулатура. Ели бы вы выслали порезанные деньги тогда все честно вы сказали правду и её подтвердили, выслав порезанные деньги. Если никто не проверит, что вы за деньги резали, значит можно и макулатуру порезать. Вы, как и любая другая компания созданы чтобы зарабатывать деньги и максимизировать прибыль. Резка денег в размере 200 тыс. это не прибыль — это убытки и, если их можно избежать вы это сделаете, вы это сейчас и сделали. Всё логично.
Принято решение о предстоящем исключении недействующего ЮЛ из ЕГРЮЛ 10.06.2020
Потом вы скажете, что вас взломали и всё поломали, поэтому налоговой ничего не должны? И злобные хакеры уничтожили ваши деньги?

Да и сертификат странноват:
[+] notBefore: Aug 3 16:29:12 2020 GMT
[+] notAfter: Nov 1 16:29:12 2020 GMT
Интересно, сколько людей сегодня пришли невыспавшимися на работу?
Судя по дискорду — около 300
уже почти 500
Да, такое надо перед выходными устраивать.

В этом сезоне в тренде просыпаться на работу, а не приходить на неё.

По URL https://ooosokol.ru/index.html есть интересная форма. Но SQL injection в ней не срабатывает.


Вот вам ещё урлы, по которым походить:
https://ws.ooosokol.ru/captcha/..test
https://ws.ooosokol.ru/


  • Буквы в надписи "СОКОЛ" на стене меняют цвет, с первого взгляда — случайным образом. Проследить логику пробовали?
Буквы меняют цвет не случайным образом, цвет свечения букв можно задать на сайте ooosokol.ru/office-interactive

ws.ooosokol.ru — это вебсокет
есть еще megatron.ooosokol.ru
Питание мегатрона отключено

Как то включить надо чтобы сжечь держатель гири)
А IP реальный, который за cloudfare спрятан, можно DDOSить? DNS там крутится…
А то играть в игру, найди ИНН, чтобы включить лазер, что-то не сильно хочется :(

Надо просто сообщить в полицию, что по этому адресу открылся штаб Навального. Правда деньги и шредер изымут и они достанутся не автору идеи :)

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
На карте с преставительствами есть точка в республике Коми.
Примерно в этом месте находится город Сосногорск и там был автосервис Сокол.
Если отмывать деньги (как сказала диспетчер), то зарегистрировать фиктивную компанию в глуши. Можно попробовать найти ИНН этого СТО или похожих компаний в этом районе.
Юридическая глушь это не Коми.
Это какая-нибудь квартира с тысячей юрлиц. Где регают юрлицо за 500 долларов.

Приииивееееет урожжжжженцу Таллллинннннна!


Игра уже дня три как закончилась :)

Звонили, но там нужны ИНН и имя директора.
Кто-то пробовал звонить с подменой номера — подставил номер телефона с сайта, просил авторизировать его по номеру телефона. Оператор посмеялась, сказала, что шутку оценила, но авторизировать по телефону не будет.

Все это уже расковыряли в дискорде и все остановилось на поиске ИНН и ФИО, которые просит УК по телефону.


Даже расковыряли что будет после — нашли оригинальный сайт, созданный на тильде как шаблон, на котором нашли активированную страницу: https://ooosokol.tilda.ws/megatron-active и способ генерации токена: https://gist.github.com/ooosokol/605eab15b856d46d7e45f27e89040b8d и забрутфорсили секрет: md5(md5("4204080F1017A2") и md5(md5("4204080F10172A")).


УК вышла из роли (что так себе) и как подсказку сказала "смотреть шире" и "продумайте что бы стал делать человек, который не очень честно деньги зарабатывает".


В общем какая-то дыра в квесте с поиском ИНН и ФИО, думаю намудрили что-то

НЛО прилетело и опубликовало эту надпись здесь
1) megatron.ooosokol.ru/login
2) Login MEGATRON Password: BNEMET
3) Переходим сюда: megatron.ooosokol.ru/megatron
4) Узнаем, что для активации лазера, нужно подать питание. Если система подачи не работает,
то нужно звонить в управляющую компанию, сказать что выбило пробки и просить чтобы включили…
5) Теперь осталось решить вопрос с управляющей компанией.
В прайс-листе капча nybcx => тнисч — снитч => cybnx
Не знаю на сколько это связано. Но поттерианство уже засвечено в этом квесте
Ждал этого комментария, но никто его не написал, придётся мне.

Уничтожение 200к это, понятно, махровое издевательство. Мне вот, например, примерно столько не хватило в прошлом году, поэтому я на этот год не смог купить медстраховку.

Разумеется, игра не стала бы менее интересной, если бы в ней не уничтожали настоящие деньги.

Можно возразить, что мажоры и силовики постоянно выбрасывают на ветер даже больше денег и на более глупые вещи; это справедливое замечание. Но точно также справедливо, что мы люди цивилизованные и не считаем мажоров и силовиков полноценными людьми, относясь к их поступкам соответственно.

Здесь же перед нами вроде бы развитые существа совершают поступок животного.

Когда в вас обезьянка кидается калом — это раздражает, но понятно, она иначе не умеет.
Когда так делает человек — это вызывает боль за весь человеческий вид.
image

А как именно вы проверите, что режутся именно настоящие деньги? :)

НЛО прилетело и опубликовало эту надпись здесь
Кстати да, выигрывают все остальные владельцы рублей пропорционально сумме владения.
НЛО прилетело и опубликовало эту надпись здесь
Нормально так участники копают. Мне уже люди звонят участвующие в квесте.
Как вы ссылку на мой сайт откапываете большая загадка.
Легко. На веб-архиве лежит версия ooosokol.ru от 2008 года, а сделал её кто?)))
Кстати, в личку, копию договора не отправите с ними?
Я этот домен купил в 2018 году ;)
Ваша ссылка на discord не работает, кажется истекло время действия приглашения. Прошу поправить ссылку и дать новую.
Я предложил данные этого перосонажа, сказали, что неправильно
sbis.ru/contragents/232503032536 — веб студия «Сокол» — все сходится
galimova_ruvds а что стало триггером уменьшения таймера с часа на 30 минут?
«подсказка»
НЛО прилетело и опубликовало эту надпись здесь

Играли в аркадные игры? Игра к своему завершению должна ускоряться чтобы нарастало напряжение :)

Да, подсказка :)
Финал получился скомканным и не эффектным. Голос в телевизоре слышно плохо, цепь шумела по аквариуму. Потом что-то еще гудело и тарахтело. Телефон звонил постоянно и мешал слушать что вы там говорите тихим голосом. Пожара не было и сайт ooosokol.ru не помер когда разбили аквариум и устроили КЗ.

Это ещё не совсем финал, но что дал разбитый аквариум, не очень понятно.

Хм, или финал?

Главное что комьюнити интересно провело это время, и было отлично.
В финале произошли небольшие технические накладки: должны были сработать дымовые шашки и громкость в экране должна была быть конечно выше. В остальном же квест удался.

Всё понял, кроме того, как ИНН нашли.


Но в целом скучно. Как тут отметили, практически одно сплошное гугление. При таком уровне идиотии, который пытались сымитировать, уязвимость к SQL injection там просто обязана была быть.

гугление? где помимо поиска инн там гугление? ну ладно ещё найти аккаунт на gist с тем же именем что домен сайта. А касательно sql injection да, наверное было бы кстати.
Видео финала будет?
Да, разумеется
Чего-то как-то быстро последняя фаза прошла. После падения сервера counter с 2850-60 сбросился на 40-50, на 42 видимо, прямо неожиданно это было. Уже хотел хэш боевой вставлять, а тут сирена, бывает. С ИНН мне кажется перестарались, вместо этого на мой взгляд лучше бы что-то техническое вставили, тот же /procces/ (sic!) мог бы валидный json возвращать с этой инфой. А так было интересно, спасибо
Вот чтоб было ИНН не спрятать в IP или MAC адресе, в URL (код соответствует символу) или вообще в exist картинки с реквизитами. А гуглить как раз можно было код налогового органа и как считается контрольное число.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.