Klientų aptarnavimas: 8 700 800 88

2011.08.02

Sistemų administratorių dienos turnyro užduočių sprendimai

Sistemų administratorių dienos turnyro užduočių sprendimai:

  1. Baltnetai paskelbus apie pagrobtą varškę ir jos paieškų pradžią, tereikia užeiti į Google ir galima aptikti žiurkėno Rokiškio straipsnį, kuriame jis neigia, kad grobė varškę. Nesudėtinga Google paieška leidžia pirmą pėdsaką atrasti labai greitai
  2. Rokiškio straipsnyje (išverstame į rumunų kalbą) yra minima, kad plėšikai kažkur už kalnų ir kad su tuo kažkaip susiję politikai ir mecenatai. Ten pat esančioje varškės kiosko fotografijoje durų, viršuje, užrašytas kodas, kurį dešifravus bene seniausiu kodavimo algoritmu - ROT-13, gaunama teksto eilutė "/VISA-TIESA-APIE-VARSKE/"
  3. Pagal turimas užuominas atrandame kitą užduoties dalį - paslėptą puslapį http://uzkalnis.wordpress.com/VISA-TIESA-APIE-VARSKE/, kur minimos geros varškės savybės bei primygtinai patariama apie varškę pasiskaityti svarbiausioje enciklopedijoje.
  4. Turint šią užuominą, randamas Vikipedijos straipsnis apie varškę. Tai padeda įsitikinti, kad Vikipedija išties yra svarbiausia ir patikimiausia enciklopedija: net ir šioje mįslingoje istorijoje ji suteikia informaciją, būtiną sprendimui - nuorodą į keistų patarlių apie varškę puslapį - http://www.furtuma.lt/ .
  5. Pažvelgus į varškės patarlių puslapio HTML, pamatoma, kad ten yra nuoroda į failą "vi.js", kuris atrodo visai nereikalingu. Pastarojo viduje, pateiktas komentaras, kuriame minimas kitas puslapis - "varske.html".
  6. Bandant įeiti į pastarąjį puslapį, gaunamas pranešimas, kad jungtis per Telnet negalima ir reikia atsinaujinti naršyklę. URL eilutėje, matoma, kad vartotojas yra persiunčiamas į puslapį "reikia-ie6.html". Pastarosios naršyklės sistemų administratoriai jau seniai nenaudoja, tačiau problemą galima išspręsti, arba dekoduojant puslapio "varske.html" turinį, arba tiesiog Firefox naršyklėje įsidiegus įskiepį "User Agent Switcher".
  7. Naudojant Internet Explorer 6 programą, pakliūnama į kitą puslapį, kuriame patalpinta varškės nuotrauka su nuoroda į lyg ir beprasmį puslapį "ff.html".
  8. Varškės nuotraukoje galima rasti IPTC įrašą, kuris prasideda tekstu "begin 644 varske". Dekodavus, gaunamas PNG paveiksliukas, kuriame yra QR-kodas. Pastarąjį dekodavę, gauname elektroninio pašto adresą "atimsiu_varske@furtuma.lt".
  9. Parašius bet kokio turinio laišką nurodytu elektroninio pašto adresu, gaunamas atsakymas, galima dekoduoti. Gaunamas slaptažodžiu apsaugotą RAR archyvas. Slaptažodį lengva atspėti - tai žodis "varske". Archyve pateikiamas TXT failą, kuriame įrašytas IP adresas - "213.197.182.162".
  10. Patikrinus nurodytu adresu esantį serverį, aptinkame SSH, laukiantį prisijungimo į 2011 portą. Darosi aišku, kur reikia laužtis.
  11. Šiame etape būtina prisiminti beprasmiu atrodžiusį puslapį "ff.html", kur yra tekstas "You can never be sure".
  12. Praskenuojami portai: # nmap -p 1-65535 -sS 213.197.182.162 PORT STATE SERVICE 2011/tcp open raid-cc.
  13. Praskanavus portus yra randama ši informacija: # telnet 213.197.182.162 2011, Connected to 213.197.182.162. Escape character is '^]'. SSH-2.0-OpenSSH_5.5p1 Debian-6
  14. Paieškojus Google, atrandama, kad tai susiję su 2008 atrasta Debian Linux sistemos SSL saugumo spraga. Dar truputį paieškojus, atrandamas puslapis, kur yra visas problemos aprašymas, pateikiamas kartu su jau sugeneruotais raktais (jų tėra vos 32 tūkstančiai) - "http://digitaloffense.net/tools/debian-openssl/".
  15. Pabandžius jungtis į SSH, nurodant vartotoją "varske", atrandama, kad vienas iš pirmų poros šimtų 2048 bitų RSA raktų - tinkamas. Bandoma Jungtis: $ ssh varske@213.197.182.162 -p 2011 -i rsa/2048/00ba4e4367df9e503550aaa2b836b204-6898 -o PasswordAuthentication=no Linux www 2.6.32-5-amd64 #1 SMP Tue Jun 14 09:42:28 UTC 2011 x86_64 cGF0YXJsJiMyNzk7cy9iYXNlNjQ= Last login: Sun Jul 31 22:40:07 2011 from 193.219.128.48 Connection to 213.197.182.162 closed.
  16. prisijungimo metu, prieš nutraukdamas sesiją, duoda ne įprastą pranešimą, kad prisijungti neleidžiama, o įdomesnį tekstą, kuriame įterptas ir įtartinas simbolių kratinys (gaunamas base64 užkoduotą informaciją, kurią dekodavus gaunama ši galūnė „patarlės/base64"
  17. Gautą keistą simbolių seką išbandoma jau anksčiau aptiktame http://www.furtuma.lt/ puslapyje, kur ją tiesiog įdedame į URL.
  18. Ir žinoma, žinoma būtina užpildyti savo registracijos duomenis :)