Конкурс "Системный Администратор 2012", Квест и тест. Обсуждаем, решаем. Опции

[DeL0rean]

А это из раздела "следствие ведут Колобки": у группы Snowgoons есть тема Time is now в альбоме The Trojan Horse)) интересно, это намек или просто орги хотели увековечить в заданиях квеста свои музыкальные предпочтения?

[Decker]

Фуф ... только добрался до этого форума и до квеста ... честно говоря думал опоздал ... уехал в отпуск на Украину и оказался без интернета. Хотите верьте, хотите нет, но даже с GPRS'ом возникли проблемы. В итоге интернет все же добыл, правда весьма странным способом ... BackTrack Linux + Reaver ... в результате одна из окружающих соседских точек доступа с WPA2 и включенным WPS все же сдалась ) Так что теперь я с вами )

[Decker]

По-поводу консоли и экспорта \ импорта файлов ... существуют два объекта javascript (каждый можно посмотреть в консоли (!) Opera DragonFly) ... output_clipboard_text и input_clipboard_text ... чтобы получить файл get_answer делаем:

Код

uuencode get_answer get_answer > /dev/clipboard

Затем открываем консоль Opera DragonFly (именно консоль), набираем там output_clipboard_text и копируем выведенное значение в файл get_answer.uue , после чего открываем хоть WinRar'ом.

p.s. Далее ... hiew32 от SEN замечательно дизассемблирует код ELF'ов ... сейчас попробуем пропатчить, залить обратно и запустить ... на все про все у меня есть 20 минут, после надо будет ехать с семьей по делам ) Кстати, если кто есть из Одессы, кто копается с квестом и имеет соответствующие навыки - черкните телефон в приват. Пообщаемся

p.p.s. Залить файл в консоль, открываем обычный JSLinux - http://bellard.org/jslinux/ ... в поле clipboard вставляем ююк ... далее делаем:

Код

cat /dev/clipboard/ > get_answer.uu
uudecode -o get_answer get_answer.uu

В результате получаем бинарник внутри JSLinux.

[zh1]

По-поводу консоли и экспорта \ импорта файлов ... существуют два объекта javascript (каждый можно посмотреть в консоли (!) Opera DragonFly) ... output_clipboard_text и input_clipboard_text ... чтобы получить файл get_answer делаем:

Код

uuencode get_answer get_answer > /dev/clipboard

Затем открываем консоль Opera DragonFly (именно консоль), набираем там output_clipboard_text и копируем выведенное значение в файл get_answer.uue , после чего открываем хоть WinRar'ом.

p.s. Далее ... hiew32 от SEN замечательно дизассемблирует код ELF'ов ... сейчас попробуем пропатчить, залить обратно и запустить ... на все про все у меня есть 20 минут, после надо будет ехать с семьей по делам ) Кстати, если кто есть из Одессы, кто копается с квестом и имеет соответствующие навыки - черкните телефон в приват. Пообщаемся

так разобрали же этот get_answer уже. это ответ на 12-е задание. бинарник собран под arm архитектуру (запускать на ведроидах или qemu). кроме того, там есть проверка /proc/cpuinfo, чтобы запускали только в их среде.

а вот с 10-м заданием что? где этот троян сидит? уже все что только можно перерыли, но трояна не нашли.

[Decker]

так разобрали же этот get_answer уже. это ответ на 12-е задание. бинарник собран под arm архитектуру (запускать на ведроидах или qemu). кроме того, там есть проверка /proc/cpuinfo, чтобы запускали только в их среде.

а вот с 10-м заданием что? где этот троян сидит? уже все что только можно перерыли, но трояна не нашли.

При запуске из под JSLinux пишет:

Код

./111: line 1: syntax error: unexpected word (expecting ")")

Почему?

[SunChella]

При запуске из под JSLinux пишет:

Код

./111: line 1: syntax error: unexpected word (expecting ")")

Почему?

почитайте предыдущие страницы, там уже всё по косточкам разобрали =)

а с трояном странность. Организаторы написали, что троян мы не найдем, он прячется, и что ответить нужно именно название трояна.

[zh1]

При запуске из под JSLinux пишет:

Код

./111: line 1: syntax error: unexpected word (expecting ")")

Почему?

потому что он собран под ARM архитектуру, а вы на интеле запускаете. лучше подумайте про 10-е задание, может быть у вас появятся свежие мысли в этом направлении. у нас пока не получилось найти троян.

[block_gamer]

почитайте предыдущие страницы, там уже всё по косточкам разобрали =)

а с трояном странность. Организаторы написали, что троян мы не найдем, он прячется, и что ответить нужно именно название трояна.

Кстати, раз Тime is now не удаляют с главной страницы конкурса,это значит, что ответ вполне может быть неправильным

[DJ-Danger]

Кстати, раз Тime is now не удаляют с главной страницы конкурса,это значит, что ответ вполне может быть неправильным

На главной вообще ничего не удаляют)

[leer]

2 день ни кто из оргов не заходит на страницу

[zh1]

2 день ни кто из оргов не заходит на страницу

напишите на [email protected] и они попробуют что-нибудь предпринять

[leer]

*уважаемые орги ! задание на 10 вопрос писал тролль ,что делать?* ?

[block_gamer]

*уважаемые орги ! задание на 10 вопрос писал тролль ,что делать?* ?

Или "уважаемые орги, прекратите прикалываться с народа "

[faew]

Из предположения что троян должен слушать какой-то порт...
скрипт можно написать в папку tmp с помощью редактора vi

Код

i=0

while [ $i -le 65535 ]
do
echo -n $i
telnet 127.0.0.1 $i
i=`expr $i + 1`
done

2 рара прошёл по полной (около 4-х часов) первый раз остановилось на 4206 второй 14314 оба при попытке пописать туда что-либо срабатывает класический эхо сервис (как в учебниках по сокетам)
ответ равен запросу... порт как я понял постоянно меняется.

возможно туда надо написать какие-то комманды...

[block_gamer]

Троян скрывается, сомневаюсь,что его можно точно вычислить

[fakemail2010]

Из предположения что троян должен слушать какой-то порт...
скрипт можно написать в папку tmp с помощью редактора vi

Код

i=0

while [ $i -le 65535 ]
do
echo -n $i
telnet 127.0.0.1 $i
i=`expr $i + 1`
done

2 рара прошёл по полной (около 4-х часов) первый раз остановилось на 4206 второй 14314 оба при попытке пописать туда что-либо срабатывает класический эхо сервис (как в учебниках по сокетам)
ответ равен запросу... порт как я понял постоянно меняется.

возможно туда надо написать какие-то комманды...

Этот же скрипт успешно срабатывать и в оригинальном jslinux.. так что, это не то..
Вероятно, кто-то уже решил этот вопрос:

>xx
Спасибо за отличные вопросы! Только они во многом больше тянут на конкурс хакеров, а не сисадминов Отдельное спасибо за 12 вопрос, благодаря ему изучил новую систему команд процессоров!

>yy
скажи дело в клоге и сислоге?

>xx
мне кажется, что вы слишком глубоко копаете... хотя иногда это бывает полезно!

И ответ где-то рядом.

[NastyaBondar]

Кто-то может объяснить ответ на 11 вопрос? Все думают, остальное не подходит, значит верный этот.

[sergobx]

Вот что выкопал:

Код

# cd /proc/155/fd                                                                        
# ls                                                                            
0  1  2  3  4                                                                  
# file 0                                                                        
0: symbolic link to `/dev/null'                                                
# file 1                                                                        
1: symbolic link to `/dev/null'                                                
# file 2                                                                        
2: symbolic link to `/dev/null'                                                
# file 3                                                                        
3: broken symbolic link to `socket:[268]'                                      
# file 4                                                                        
4: symbolic link to `/tmp/messages'

процесс отправляет логи в /dev/null?
может это и есть симптомы того самого "трояна"?

[Get]

По поводу 10-го вопроса:
от безысходности проверил всю рутовую фс (ту, что можно скачать как http://admin2012.ru/jslinux/default_q10/hda0000000[0-8][0-9].bin) последним дрвебом - вирусов нет
На всякий случай проверил и образ ядра - естественно тоже нет

Кстати у меня запуск md5sum /dev/hda в эмуляторе и md5sum <образ hda, скаченный с сайта> выдают разные результаты

[zh1]

По поводу 10-го вопроса:
от безысходности проверил всю рутовую фс последним дрвебом - вирусов нет

на самом деле, спонсор у них каспер, так что каспером нужно было проверять. но я каспером тоже проверял, и тоже вирусов нет.