Jump to content

xzolsu

Administrators
  • Content Count

    270
  • Joined

  • Last visited

  • Days Won

    29

Everything posted by xzolsu

  1. С этим квестом убил 1.5 дня жизни. Не перенёс, уснул, планируется на сегодня.
  2. Всё, закончился квест Победа Полная расшифровка квеста будет на хабре. https://habr.com/ru/company/ruvds/
  3. https://ooosokol.ru/pricelist отправка идёт по этому адрессу: https://forms.tildacdn.com/procces/
  4. Удалось отправить запрос к сокету: Host: ws.ooosokol.ru User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0 Accept: */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Sec-WebSocket-Version: 13 Origin: https://ooosokol.ru Sec-WebSocket-Extensions: permessage-deflate Sec-WebSocket-Key: SCNwxRf9Y/9GN61yyGA2rw== Connection: keep-alive, Upgrade Cookie: __cfduid=d84aca5a279f3eff90fb12f42621fc3e61597302319; cf_clearance=1f93269becd06c621aa96367db6cec92f50e538a-1597316884-0-1z2f12c802zf63f272az6d0d0dd4-150 Pragma: no-cache Cache-Control: no-cache Upgrade: websocket
  5. t396_init используется в файле: https://ooosokol.ru/js/tilda-blocks-2.7.js?t=1596461689 это чтото инициализованое по блокам, нет явной связи.
  6. функция t396_init на странице встречается 4 раза с разными аргументами: $(document).ready(function () { t396_init('211382686'); }); $(document).ready(function () { t396_init('211382744'); }); $(document).ready(function () { t396_init('209660574'); }); $(document).ready(function () { t396_init('211382832'); AppOnFinishLoad(); }); AppOnFinishLoad идёт вконце, запуская сокет. После обновления страницы аргументы не меняются.
  7. При старте страницы вызываются: $(document).ready(function () { t396_init('211382832'); AppOnFinishLoad(); });
  8. https://colab.research.google.com/drive/1HZQBK7RLb0wqA0xa1ltJc46T7-m9nDdO?usp=sharing#scrollTo=hgdWhPpCfWYL
  9. https://ooosokol.ru/office?__cf_chl_jschl_tk__=f0cc5b262732c86b82dc1cc7a45335bd841a855c-1597302314-0-Ab340ENxks3ovp8nGNeB2Q-kwtRgkx15IyNCJSvyxXq3JZSL-jqh8DLPqK-D9W_l3JfFoNEbQ5PJE9cTMXwIO3Ihfbt6PAKazJTVZ8s7g2JzsDAEcf45DKocm6iZS2hyxZkBaf_IexVihO7sG_RaiX7afV1x3E4KXDSoybHP-u-mDmWZ218XMA0vxtg5NrcZxTDxZW_knoaM6yKOyNbZ4H82DUnDuHYLU6YGG2Ytmq94xFpuO1TAPDPm20hC9T8Mj7NCL68_4XVsMxH8LZeBUYqyK0VBHS9V6E02YSdJvFYi
  10. http://ooosokol.tilda.ws/megatron-active - это похожу фейк, но вот нафига его делать?
  11. Что известно на данный момент: 1. Сайт создан на тильде, есть список всех страниц, в том числе скрытых. 2. После создания он перенесен на отдельный хостинг. Возможно простым копированием. 3. К сайту привязано помимо тильдовских доменов, как минимум два домена второго уровня. Один из них создан еще в ноябре 2019 года, домен ooosokol создан в июле 2020го 4. Есть два субдомена, megatron и ws 5. Пароль от мегатрона написан на доске, там лежит подскзка, что надо включить питание звонком в УК 6. Управление iot устройствами осуществляется через веб-сокеты. Среди списка всех устройств есть только два, которые требуют для включения логин пароль (admin\admin) устройства a8 и a9, при этом устройства a9 нет в публичном списке, нашли брутофоросом 7. Не факт, что устройство a9 это именно лазер, потому как после включения питания, должна появится форма ввода токена для мегатрона с кнокпой стрелять (шаблон как это выглядит есть на тильде, даже два) 8. Для вычисления токена еще в середине (sic!) июля были оставлены хлебные крошки в гистах гитхаба, где выложены сорцы мегатрона - токен это md5 хэш 9. Не факт, что мегатрон это не простой хонипот - но при этом весь квест до сих пор основан на практически простой дедукции, без какого-либо глубоко взлома. 10. субдомен ws управляет ngnixом, там помимо сокет-сервера дежит генератор капчи 11. Есть несколько записей звонков в УК - для включения питания необходимы ФИО директора и ИНН организации 12. Девушка явно дала подсказку, что надо смотреть шире, и подумать о том, как бы поступил человек, который зарабатывает не совсем честным образом. 13. Очевидно, что все запилено специально, потому надеятся на то, что существует реальный инн или организация по всей видимости не стоит. 14. В то же время не ясно где можно взять эти самые инн и фио, потому как никаких зацепок на этот счет нет, хотя по условяим конкурса все подсказки вокруг 15. Отправка формы на заказ сайта возможна с оригинального домена тильды посклькку /process - тильдовский роут, он не перенесен на конечный сайт. 16. Форму отправляли, ответа не пришло. 17. При этом все же настораживает запиленнная капча для этой формы - она не тильдовская, запилина нарочито
  12. Да, так же, 2 домена: k0d.biz k0d.cc - убрал пока редирект, настраиваю на нём.
  13. Здесь идёт хак квест с реальным вознаграждением, желающие могут побороться: В описаниях следующее: Владелец офиса уехал отдыхать на Бали, но успел построить продвинутую систему слежения и защиты от грабителей. Свои деньги, 200 000 рублей, честно заработанные на создании убогих сайтов, он засунул в шредер — только офис попытаются взломать, деньги начнут уничтожаться и не достанутся никому. Раз в час шредер перерезает по 1000 рублей в горку бумажного мусора. Как это происходит, вы можете наблюдать на трансляции. Там же вы видите, как меняется комната под управлением умных устройств. Вокруг вас спрятаны подсказки, которые помогут вам выйти победителями. Шредер начал пожирать наличность сутки назад, когда ссылку на игру получили 10 самых продвинутых ребят с Хабра — и они не справились с задачей хакнуть систему и забрать оставшиеся деньги в качестве приза. Потом мы отправили игру еще 10 — и они тоже не справились. Теперь дело за вами. Сможете ли вы восстановить справедливость? Способны ли вы найти спрятанное в комнате оружие, хакнуть и запустить его? Сколько денег вы сможете забрать из шредера? Кто обычно побеждает в главной схватке рунета: дикие непрофессионалы или те, кто вооружен интеллектом? Сможете ли вы устроить короткое замыкание и остановить шредер? Come play with us. Игра начинается. Следуйте зову сердца. Есть дискорд канал обсуждения. Адрес сайта: https://ooosokol.ru/ Адрес включалок устройств: https://ooosokol.ru/office-interactive Работа с сокетами и ввод пароля popup'a: https://ooosokol.ru/app.js
  14. Сегодня переезд, возможны перебои в работе.
  15. Если необходим Datasheet на чип, то милости прошу на сайт: http://www.datasheetcatalog.net/ru/
  16. Задача: Установить на Linux електроный кошелёк. Решение: Заходим на сайт: https://electrum.org/#download Скачиваем под свою ось, в данном случае Linux: Заходим в папку с сохранённым файлом: Даём разрешение на исполнение: Запускаем: Следуйте дальнейшим указаниям и выбирайте варианты, удовлетворяющий вас: Дальше скопируйте seed слова и собственно всё. Ваши кошельки лежат тут по дефолту: ~/.electrum/wallets
×
×
  • Create New...