Конкурс "Системный Администратор 2012", Квест и тест. Обсуждаем, решаем. Опции

[Get]

А кому-нибудь удалось запустить ядро http://admin2012.ru/jslinux/default_q10/vmlinux-2.6.20.bin + <образ hda> в QEMU (спасибо Фабрис еще раз)?

[zh1]

А кому-нибудь удалось запустить ядро http://admin2012.ru/jslinux/default_q10/vmlinux-2.6.20.bin + <образ hda> в QEMU (спасибо Фабрис еще раз)?

а смысл?

я у них склонировал систему на свой сервер, починил /dev/clipboard и на копии играюсь. с qemu не стал заморачиваться.

[fakemail2010]

а смысл?

Можно GDB прикрутить, посмотреть, что происходит..

[Get]

а смысл?

я у них склонировал систему на свой сервер, починил /dev/clipboard и на копии играюсь. с qemu не стал заморачиваться.

Смысл в том, чтобы загрузиться в "чистом" окружении, без возможных манипуляций со стороны js-хакеров Айдеко.

В догонку: Облазил всю файловую систему из образа hda - ничего необычного. nano есть, которого нет в оригинальном эмуляторе от Фабриса.
В догонку 2: ядра от Айдеко и Фабриса - одинаковые. Значит, если "троян" все таки есть, то он запускается либо из рутовой системы, либо с помощью модифицированного эмулятора.

[NastyaBondar]

Смысл в том, чтобы загрузиться в "чистом" окружении, без возможных манипуляций со стороны js-хакеров Айдеко.

В догонку: Облазил всю файловую систему из образа hda - ничего необычного. nano есть, которого нет в оригинальном эмуляторе от Фабриса.
В догонку 2: ядра от Айдеко и Фабриса - одинаковые. Значит, если "троян" все таки есть, то он запускается либо из рутовой системы, либо с помощью модифицированного эмулятора.

Ребята, а может такое быть - никто не думал, что файл get_answer завязан на решении и 12 и 10 задания? Может он и является неким трояном?

[zh1]

Смысл в том, чтобы загрузиться в "чистом" окружении, без возможных манипуляций со стороны js-хакеров Айдеко.

нету там манипуляций. я все проверил. единственное отличие от оригинальных js скриптов в том, что платформа переименована из intel в inte1 (в конце 1-ка, проверяется в 12-м задании). ну и не относящееся к делу изменения, это поломанный clipboard (со стороны js, быстро чинится) и есть доп. код, который серийник винта выставляет. больше в js разницы с оригинальным кодом нет.

по qemu, там проблема в том что образ не содержит загрузчика. в js-эмуляторе для старта ядра используется файл /jslinux/linuxstart.bin. вам нужно решить проблему с загрузчиком.

еще мне показалось что у них не используется видео-карта, а ввод-вывод делается через консоль (ком-порт). так что, если чисто случайно после того как вы сделаете загрузчик, у вас будет грузиться только черный экран, то не удивляйтесь. вероятно, для решения этой проблемы ядру нужно будует сказать волшебное слово. вобщем, я вижу только эти 2 возможные проблемы с qemu.

впринципе, наверное с qemu умеет смысл заморочится, потому как если троян действительно существует (а не такая же подколка как была с жестами), то он может быть только поправленным стандартным кодом. скажем, в busybox быть вкомпиленным в качестве одной из команд. по этому нужно не название файла (busybox) писать в ответ, а имя трояна (ибо в этом busybox много команд вкомпилено).

а еще мне не понятно зачем нам дали бинарник getconf. для определения архитектуры в 12-м задании достаточно утилиты file.

также не понятно с ltrace. к чему бы я не применял эту команду, оно говорит что .dynsym или .dynstr не найдены.

кстати, была идея что в файл с сигнатурами для команды file добавили лишнюю и типа file чего-нибудь должно выдавать что это троян. проверил на всех файлах: мимо тазика.

[zh1]

кстати, убрали с главной ответ на 12-й вопрос.

[Get]

Вообще, как с помощью терминала можно было бы включить свет:
1. через послед./параллельный порт поуправлять контроллером электроосвещения.
этот вариант не катит - serial завязан на консоль.
2. через сеть - для управления светом можно хоть веб интерфейс написать, и т.п.
этот вариант не катит - судя по sysfs (а также dmesg-у) в системе нет сетевого адаптера.
3. из разряда бреда - врубить белый background на консоли (или вывести на весь экран белые псевдосимволы █) - это хоть немного осветит пространство.
этот вариант не катит - коридор длинный

У кого еще есть варианты?

Можно исходить из того, что "троян" не дает нам увидеть/воспользоваться "световыключателем". Тогда он должен скрывать какое-либо устройство (device), т.к. в "чистом" образе hda я не нашел никаких явных утилит-"световыключателей".
Есть соображения по этому поводу?

[leev]

Относительно 12 вопроса. Все что нужно было сделать чтоб получить ответ.
# cat /dev/clipboard | base64 -d >/tmp/qemu-arm-static && chmod 777 /tmp/qemu-arm-static && /tmp/qemu-arm-static /root/get_answer

[qwerzxc]

Относительно 12 вопроса. Все что нужно было сделать чтоб получить ответ.
# cat /dev/clipboard | base64 -d >/tmp/qemu-arm-static && chmod 777 /tmp/qemu-arm-static && /tmp/qemu-arm-static /root/get_answer

и что - он отличается от уже озвученного?

[Decker]

Звучавшее здесь предположение по поводу трояна на R - это Remote Shell Trojan? Судя по netstat что-то то там слушается ... /dev/../tmp/log ... может стоит копать в эту сторону?

[preloader]

Звучавшее здесь предположение по поводу трояна на R - это Remote Shell Trojan? Судя по netstat что-то то там слушается ... /dev/../tmp/log ... может стоит копать в эту сторону?

ещё пингуется адрес 127.0.1.1, хотя по ifconfig нету такого

[preloader]

хотя с адресом 127.0.1.1 вроде всё нормально, погуглил

[preloader]

заметил, не даёт отредактировать файл /etc/hosts

в bash_history тоже ничего не пишется

[Get]

заметил, не даёт отредактировать файл /etc/hosts

в bash_history тоже ничего не пишется

# mount|grep ' / '
rootfs on / type rootfs (rw)
/dev/root on / type ext2 (ro)

Про то, что рутовая фс смонтирована в режиме только для чтения уже писали выше.

[preloader]

# mount|grep ' / '
rootfs on / type rootfs (rw)
/dev/root on / type ext2 (ro)

Про то, что рутовая фс смонтирована в режиме только для чтения уже писали выше.

понял, я пропустил сильно) невнимательно посты прочитал

[zzTOP]

Троян - это как правило backdoor (если смотреть в корень слова), как правило служит для влезания в систему и второй вариант - хищения данных но этим заняты и вирусы.

Выходит что ковырять надо юзверя default и пытаться поднять ему привилегии.
Но как заявили орги - "глубоко копать не нужно" что наталкивает на мысль отсутствия всякого трояна в чистом виде - и присутствии ошибки - на подобие "трояна". К примеру пустой пароль для root.

Но! как этим включить свет ?

[preloader]

условия задания, слова свет, терминал, троян, java - приводят к нахождению например такой штуки, flashback trojan ). Он вроде для маков, щас изучим подробнее, что это

[preloader]

никому ненормальным не кажется. что в passwd у всех shell есть, вместо nologin или false?

[preloader]

никому ненормальным не кажется. что в passwd у всех shell есть, вместо nologin или false?

хотя, если верить shadow, залогиниться кроме рута и default никто не может