⛔️ 🎤 👨‍💼 नियोक्वेस्ट -२०२० के ऑनलाइन चरण के परिणाम: वे जितने सर्वश्रेष्ठ हो सके, बच गए 🔑 ❣️ 👃🏼

NeoQUEST-2020 समाप्त हो गया है, और अब इन समृद्ध दो हफ्तों के बारे में बात करने का समय है: हम कार्यों का सार प्रकट करेंगे (लेकिन सभी नहीं, कुछ अलग-अलग राइट-अप के रूप में सामने आएंगे), अपनी प्रगति के आंकड़े दिखाएं और विजेताओं की घोषणा करें!

ध्यान! लेख में उन लोगों के लिए स्पॉइलर शामिल हैं जिन्होंने अभी तक कार्य पूरा नहीं किया है, लेकिन ईमानदारी से जा रहे हैं (और ऐसा अवसर है - ऑनलाइन मंच साइट काम करना जारी रखती है!)।

हम लंबे परिचय के साथ नष्ट नहीं होंगे। इस साल वे स्टील के विजेता बने:

hellow0rld666 , 1221 अंक
KARASIQUE , 1221 अंक
ch1sh1rsk1 , 1085 अंक

इन लोगों को तीन बार "चीयर्स"! पहले स्थान के लिए संघर्ष बयाना में शुरू हुआ - नेता लगभग हर दिन बदल गया। यह भी ध्यान देने योग्य है कि hellow0rld666 और KARASIQUE प्रतिभागी बने जिन्होंने हमारे सभी कार्य पूरे किए! हमें अपनी आंखों पर विश्वास नहीं हुआ, लेकिन ऐसा होता है।

मजेदार तथ्य: प्रतियोगिता के पहले दिन जिन सभी कार्यों में बहुत रुचि थी, वे लड़कियों द्वारा विकसित किए गए थे :)

असाइनमेंट पर बताएं!

दो सप्ताह के दौरान, हमारे support@neoquest.ru मेलबॉक्स ने आने वाले संदेशों को प्राप्त करने के लिए सिग्नल भेजना बंद नहीं किया! लेकिन हम केवल इस बारे में खुश हैं - इसका मतलब है कि हमारे कार्यों को पूरा किया जा रहा है और प्रतिभागियों को दिलचस्पी है!

तो, हमारे पास असाइनमेंट में क्या था।

असाइनमेंट नंबर 1 - "हैकिंग के खिलाफ कोई प्रवेश नहीं है"।

प्रतिभागियों को एक लिंक दिया गया था, जिसके बाद उन्हें केवल शिलालेख "हैलो दुनिया!" के साथ पृष्ठ पर मिला। हम ऐसे मामलों में शुरुआत से ही क्या करते हैं? बेशक, हम पृष्ठ के स्रोत कोड में जाएंगे:

इस केस को हल करने के लिए GIT की पूरी शक्ति का उपयोग करें - जैसे GIT, नाम अच्छी तरह से जाना जाता है। लेकिन एक और पत्र क्यों उजागर किया गया है? और अगर हम उन्हें कनेक्ट करते हैं? .. CGIT? .. बिल्कुल, मैंने ऐसा कुछ सुना है!

CGIT - रिपॉजिटरी वेब इंटरफेस।

इसलिए, हमने इसका पता लगाया। लिंक का पालन करें213.170.100.213/cgit , जहां हम सभी फ़ोल्डर्स में चारों ओर प्रहार करते हैं, कुंजी खोजने की कोशिश करते हैं, लेकिन निश्चित समय के कुछ ~~घंटों के~~ बाद हम समझते हैं कि बिंदु अलग है।

और अब लोगों को दो श्रेणियों में विभाजित किया गया है: वे जो उच्च-प्रोफ़ाइल भेद्यता के बारे में सुनते थे, और जिन्होंने नहीं सुना।

किसी भी स्थिति में, आपको सीवीई-2018-14912 को Google पर ढूंढना होगा । इसके अलावा केवल हाथ की

नींद और कोई धोखाधड़ी नहीं: 213.170.100.213/cgit/cgit.cgi/my_repo.git/objects/?path=../../../../..//..//cc/ पासवार्ड
हमें पासवर्ड के साथ फाइल मिलता है, फिर उसमें से हमें कुंजी का पहला भाग मिलता है:
NQ2020Gka2rFseNPexB4JsnP9k9RKulFVQDCcXwY2aPaI + और देखें ...

यह दूसरा भाग खोजने के लिए बना हुआ है। यहां यह आसान है: रिपॉजिटरी में इतनी सारी फाइलें नहीं होतीं, गणना द्वारा हम समझते हैं कि उनमें कुछ भी नहीं है। लेकिन हम Git रिपॉजिटरी में हैं, जिसका अर्थ है कि आप इसमें होने वाले सभी परिवर्तनों को देख सकते हैं! वहाँ, जानकारी स्पष्ट रूप से और अधिक पूर्ण होगी ...

हम या तो "अधिक देखें" सूचक द्वारा या तो अलग-अलग जाते हैं, या मैन्युअल रूप से "अधिक देखें = e9a3c19a544e6589825fd643f4e6d5n1c4e9", पहले भाग के साथ संक्षिप्त करें और हमारी कुंजी प्राप्त करें!

कार्य क्रमांक 2 - "रोबोट को इकट्ठा करें या क्या आपके पास l_apk_and है?"

प्रतिभागियों को एक एपीके एप्लिकेशन दिया जाता है जो एक फाइल क्लाइंट है। यह सर्वर के साथ संचार करता है और निर्दिष्ट नाम से एक एन्क्रिप्टेड फ़ाइल प्राप्त करता है। कुंजी प्राप्त करने के लिए आपको प्रमाणपत्र और पहुंच टोकन से निपटने की आवश्यकता है।

असाइनमेंट का एक विस्तृत विश्लेषण एक अलग लेख के रूप में जारी किया जाएगा!

असाइनमेंट नंबर 3 - "द मोस्ट कूल लेफ्ट"

असाइनमेंट में, एक संग्रह डाउनलोड करने का प्रस्ताव है जिसमें बोल नाम नाम के साथ 1 जीबी बाइनरी फ़ाइल है, जिसके आधार पर हम यह मान सकते हैं कि यह एक रैम डंप है ...

क्या आप बहुत अधिक अंतरंग हैं ? जल्द ही हम इस राइट-अप को एक अलग लेख के रूप में पोस्ट करेंगे, क्योंकि हमारे प्रतिभागी इस कार्य में रुचि रखते थे!

असाइनमेंट नंबर 4 - "लेखन में कठिनाइयाँ

" NeoQUEST-2020 की "हाइलाइट", एक असाइनमेंट जिसने समर्थन पर उत्साही समीक्षाओं का रिकॉर्ड नंबर एकत्र किया! लब्बोलुआब यह है कि wav फ़ाइल से ध्वनि कुंजी पर टाइप करने की ध्वनि से ज्यादा कुछ नहीं है। इस ध्वनि का नमूना लेना और आवृत्ति विश्लेषण करना आवश्यक है!
असाइनमेंट का अधिक विस्तृत विवरण शीघ्र ही प्रकाशित किया जाएगा।

लक्ष्य №5 - «मिरगी घटता"

काम शर्तें:

एक = 119008536160574978629781290147818127606791827844670246888266509216288777541932
बी = 125173392763487646441684374997817715298134647755542804722568603162177610612799
char_field = 137503105969312982065490544697816890680820287577287920391172791053955276754533
पी = (24588378651043317545653993517686345205594551142728198236546389666483449174897, 64035697994960793657311999090254655816706285115803662919872675661618460099464)
क्यू = (70440277554855197417972068200756767916691677649413431083023577625869629031919, 72025841911476301630338043296901014469577623652063349003687337089744015808109)

स्पष्ट रूप से अण्डाकार वक्र पर असतत लघुगणक समस्या को हल करने की आवश्यकता पर संकेत देता है। अण्डाकार वक्र के मापदंडों को देखने और इसकी विशेषताओं का अध्ययन करने के बाद, हम अनुमान लगाते हैं कि यह वक्र विसंगतिपूर्ण है: ऐसे वक्र के बिंदुओं के समूह का क्रम उस क्षेत्र की विशेषता के साथ मेल खाता है, जिस पर यह दिया गया है। और घटता के इस वर्ग के लिए एक स्मार्ट हमला है जो आपको वांछित असतत लघुगणक की गणना करने के लिए जल्दी से पर्याप्त है।

इसके अलावा, यह प्रौद्योगिकी का विषय है: हम हमले कोड लिखते हैं, कार्य से डेटा को प्रतिस्थापित करते हैं, प्राप्त की गई कुंजी पर असतत लघुगणक और आनन्द का पता लगाएं!

टास्क नंबर 6 - "हिडन टेलीग्राम"

हमारे एक अन्य मोती, क्योंकि हमने टेलीग्राम में जियो-चैट के बारे में बहुत कम सुना। असाइनमेंट का एक विस्तृत विश्लेषण भी एक अलग लेख के हिस्से के रूप में जारी किया जाएगा - यहां कई दिलचस्प बारीकियां हैं।

टास्क नंबर 7 - "यदि आप कर सकते हैं तो मुझे संरेखित करें"

एक तस्वीर को देखते हुए:

कार्य की चाल यह है कि तीन चर वाले इस डायोफैंटाइन समीकरण में सकारात्मक पूर्णांक समाधान नहीं है, जिसका अर्थ है कि कार्य का सार समीकरण के एक सरल समाधान में नहीं है, और आपको खुदाई करने की आवश्यकता है और गहरा!

मेटाडाटा छवियों

char_field = 2733425503484079885916437054066624513727898092580736050087
base_point = (2003799601518383430823233516441563713038362096795740845531,2732921640345227083457754907818649009295467132857674744044)
open_key = (1259834880846103046383661778550941435260068858903099332507,1686622613601304663126341188899964094370838010363453830341)
गुप्त <4351098091135498422 ---> y ^ 2 = x ^ 3 + कुल्हाड़ी ^ 2 + Bx

अण्डाकार घटता पर फिर से संकेत है, लेकिन वे इस समीकरण से कैसे संबंधित हैं? यह पता चला है कि एक कनेक्शन है! वक्र के गुणांक ए और बी को खोजने के बाद, हमें एक नई कठिनाई का सामना करना पड़ रहा है: चित्र के मेटाडेटा के बिंदु इस वक्र से संबंधित नहीं हैं। क्या करें? एक सुराग खोजने की उम्मीद में, हम किंवदंती को फिर से जोड़ते हैं और "मुड़ बहन" का उल्लेख देखते हैं। यूरेका! क्या होगा अगर अंक एक मुड़े हुए वक्र के हैं ? अब यह आप पर निर्भर है कि मेटाडेटा से एक वक्र युक्त बिंदुओं को खोजें। सही मुड़े हुए घुमाव पर जाने के बाद, हम Polyg-Hellman हमले को लागू करते हैं और हमारी अंतर्दृष्टि का आनंद लेते हैं!

टास्क नंबर 8 - "क्या मैं आपका ऑटोग्राफ ले सकता हूं?"

नियोक्वेस्ट -२०२० के आंकड़ों के अनुसार, यह कार्य सबसे कठिन है, इसलिए हमने इसके लिए एक अलग लेख समर्पित करने का निर्णय लिया। संक्षेप में, आपको यह पता लगाने की आवश्यकता है कि साइट पर एक अहस्ताक्षरित पीडीएफ दस्तावेज़ कैसे अपलोड किया जाए। ऐसा करने के लिए, प्रतिभागियों को एक दिलचस्प भेद्यता का फायदा उठाने की आवश्यकता होगी :)

टास्क नंबर 9 - "प्रोग्रामिंग के लिए खुद को समर्पित करें"

"अपनी आंखों पर भरोसा न करें" - यह वह आदर्श वाक्य है जो हम इस कार्य को देंगे। C स्रोत कोड वाली किसी फ़ाइल को डाउनलोड करते समय, ऐसा लगता है कि AES एल्गोरिथ्म के अनुसार केवल उस कोड / डिक्रिप्ट के अंदर कोड है, लेकिन "यह वहां नहीं था" - हम आपको बताते हैं। आपको कोड में त्रुटियों की उपस्थिति पर ध्यान देना चाहिए, साथ ही साथ संदिग्ध स्थान और संकेत भी। हमने गूढ़वाद का वादा किया? प्राप्त करें और हस्ताक्षर करें!

तथ्य यह है कि इस फ़ाइल में, सी कोड के अलावा, गूढ़ प्रोग्रामिंग भाषाओं में कोड भी है - व्हॉट्सएप और चम्मच! व्हॉट्सएप भाषा में कोड हमें कुंजी देगा, चम्मच भाषा में कोड हमें सिफरटेक्स्ट देगा। अब हम कोड में त्रुटियों को ठीक करेंगे, इसे प्राप्त आंकड़ों के साथ चलाएं और कुंजी प्राप्त करें!

टास्क नंबर 10 - "बीइंग ह्यूमन"

इस साल OSINT आधुनिक रुझानों से पीछे हटने की कोशिश नहीं कर रहा है! हमने एक ऐसे रोबोट की छवि बनाई जो इंसान बनना चाहता है और इसलिए मानव की आदतों का अध्ययन करता है, और सभी सामाजिक नेटवर्क पर प्रतिभागियों को अनुमति देता है जिसमें यह रोबोट दिखाई दिया।

तो, प्रतिभागियों को निम्नलिखित पाठ दिया जाता है:

cHVibGljMTAxMTAxMTAwMTAxMDExMDAxMDAwMDAxMDAwMeKArA == दो "=" संकेत शाब्दिक रूप से चिल्लाते हैं: "हां, हां, मैं बेस 64 हूं, मुझे पूरी तरह से डिकोड करें!"। हम इस कॉल को सुनते हैं और public101101100101011001001000000010001 प्राप्त करते हैं। अगला, बाइनरी को दशमलव में बदल दें, हमें public191194129 मिलता है। बहुत कुछ, ठीक है की याद ताजा करती है?

हम एक VKontakte समूह पाते हैं जिसमें रोबोट आंकड़े और लोगों के उत्तर एकत्र करता है। दीवार पर प्रश्न काफी मनोरंजक हैं, लेकिन हम ASK.FM के लिंक में रुचि रखते हैं । प्रश्नों के काफी मनोरंजक उत्तर भी हैं, लेकिन हम YouTube चैनल के लिंक में रुचि रखते हैं । यहां हमें पता चलता है कि हमारा रोबोट न केवल एक व्यक्ति बनने की कोशिश कर रहा है, बल्कि एक ब्लॉगर भी है! यह बस थोड़ा सा ही रहता है: वीडियो पर संकेतों का पालन करें।

हम डायरी में पासवर्ड के प्रकार को देखते हैं:

सपनों का शहर डेस्कटॉप स्क्रीन सेवर - पेरिस से स्पष्ट है। पालतू जानवर का नाम भी किसी का ध्यान नहीं जाता - रोज। हम आपके पसंदीदा गीत को ब्राउज़र के टैब में से एक में देखते हैं, और पहचानकर्ता को एक कप कॉफी पर लिखा जाता है।

इसका उत्तर है पेरिस ।ose.Starlight.S3574mT

मिनी-टास्क नंबर 1

इस कार्य में, आपको बस उस पृष्ठ के स्रोत कोड को देखने की आवश्यकता है जहां वाक्यांश "लोग सर्वनाश चुटकुले बना रहे हैं जैसे कल नहीं है।" यह किसने कहा? "। इस प्रश्न का उत्तर Google - "ऐली" में मिलता है।

मिनी-टास्क नंबर 2

बॉट द्वारा बोली जाने वाली पाठ प्रविष्टियों के साथ संग्रह डाउनलोड करें। हां, केवल बॉट स्टीफन किंग की पुस्तक बैडलैंड्स को नहीं पढ़ता है, लेकिन त्रुटियों के साथ पढ़ता है। लापता पत्र लिखने के बाद, हमें वाक्यांश "वायरस के प्रसार पर पुस्तक" मिलता है। हालाँकि, यह जवाब नहीं है! हमें वायरस के प्रसार के बारे में कुछ किताब खोजने की जरूरत है। लेकिन कार्य पहले से ही एक सुराग है कि लेखक अभी भी एक ही प्रसिद्ध श्री एस राजा है! सही उत्तर है द स्टैंड।

मिनी-टास्क नंबर 3

एक निष्पादन योग्य फ़ाइल दी गई है। उससे कम से कम कुछ प्राप्त करना आवश्यक है, अधिमानतः, कुंजी। यदि आप इसे चलाते हैं, तो प्रतिक्रिया में कुछ भी प्रदर्शित नहीं किया जाएगा। घटनाओं के विकास के लिए कई विकल्प हैं, लेकिन सही एक दी गई फ़ाइल से लाइनें निकालने के लिए है जिसे पठनीय पाठ में बदल दिया जाएगा। इस कार्य का उत्तर उस पुस्तक का नाम है जिसमें से टुकड़ा निकाला गया था - आकाशगंगा के सहयात्री की मार्गदर्शिका।

मिनी-टास्क -4

यह कार्य आइंस्टीन के तार्किक कार्य की एक आधुनिक हैकर व्याख्या है । इसके समाधान में कुछ भी जटिल नहीं है, एक तालिका बनाना और यह देखना आसान है कि कैसे शर्तें पूरी की जाती हैं। सही उत्तर RREKPA है। # AC + P.EDWKU.LKPGM.MASLHAC - शर्त के अनुसार एन्कोडेड।

मिनी-टास्क नंबर 5

श्रोडिंगर की नौकरी सरल और जटिल दोनों है। यहां सादगी जवाब पाने में है - आपको बस इतना करना है कि सर्वर पर फ्लैग पैरामीटर के साथ एक पोस्ट अनुरोध भेजें, जो सही उत्तर देगा। कठिनाई इस तथ्य में निहित है कि आपको इसके बारे में सोचने की आवश्यकता है :) लेकिन हमारे कई प्रतिभागियों ने इसे निष्ठापूर्वक निपटाया है, चीयर्स!

सांख्यिकी मिनट

इस वर्ष के आंकड़े इस प्रकार हैं:

पंजीकृत प्रतिभागियों की संख्या 1266 लोग हैं।
पूर्ण किए गए कार्यों की संख्या - 10/10
पूर्ण रूप से कम से कम एक कार्य पूरा करने वाले प्रतिभागियों की संख्या 110 लोग हैं।

जिन प्रतिभागियों को कम से कम एक कुंजी मिली है, उनका वितरण:

और यह प्रतियोगिता के दिनों तक हमारे प्रतिभागियों की गतिविधि का एक ग्राफ है:

हम अपने पारंपरिक GIF के साथ सांख्यिकी अनुभाग को समाप्त करते हैं:

आने वाले दिनों की बात करें

फिलहाल, हम सेंट पीटर्सबर्ग में जून के अंत में एक "टकराव" NeoQUEST-2020 आयोजित करने की योजना बना रहे हैं , लेकिन देश में वर्तमान स्थिति में महल संभव हैं। मुख्य बात - चिंता न करें, हम इस साल आपसे जरूर मिलेंगे!

हम सबसे अच्छे और पसंदीदा छोड़ देंगे: रिपोर्टों, कार्यशालाओं और हमलों के प्रदर्शन, और एक नया जोड़ देंगे! पिछले साल की तरह, NeoQUEST को वैज्ञानिक और तकनीकी सम्मेलन "सूचना सुरक्षा सुनिश्चित करने के तरीके और तकनीकी साधन" के साथ आयोजित किया जाएगा ! NeoQUEST-2020 मेहमान विज्ञान और साइबर सुरक्षा अभ्यास के बीच संबंधों के बारे में बहुत कुछ सीखेंगे, एक सूचना सुरक्षा विशेषज्ञ के लिए वैज्ञानिक अनुसंधान का महत्व और कैसे वैज्ञानिक रूप से आधुनिक सूचना सुरक्षा तंत्र काम करेंगे!

रुचि रखने वाले न केवल नियोक्वेस्ट में भाग ले सकते हैं, बल्कि सम्मेलन के वैज्ञानिक वर्गों में भी भाग ले सकते हैं! नियोक्वेस्ट पर एक रिपोर्ट या कार्यशाला के साथ भाग लेने के बारे में अधिक जानने के लिए, support@neoquest.ru पर लिखें, और सम्मेलन के बारे में अधिक जानकारी के लिए "सूचना सुरक्षा सुनिश्चित करने के तरीके और तकनीकी साधन" , सभी सवालों के लिए, एकजुट साइट देखें, mitsobi@neobit.ru पर संपर्क करें।

आगे - कई कार्यों के लेखन और "फेस टू फेस" के लिए सक्रिय तैयारी! वैसे, जिन प्रतिभागियों ने कम से कम एक कार्य पूरा किया है - अपने मेल की जांच करें, हम जल्द ही मेलिंग शुरू करेंगे!

नियोक्वेस्ट -२०२० के ऑनलाइन चरण के परिणाम: वे जितने सर्वश्रेष्ठ हो सके, बच गए

असाइनमेंट पर बताएं!

सांख्यिकी मिनट

आने वाले दिनों की बात करें

More articles: