Đi săn trứng phục sinh trong Mr. Robot
hacking
17
Tutorial
19
easter egg
1
White

Juno_okyo viết ngày 05/09/2016

mrrobot-easter-eggs

Ở cuối tập một của Mr. Robot Session 2, có cảnh khi Darlene tạo mã độc tống tiền (ransomeware) bằng bộ công cụ SET. Hãy chú ý vào địa chỉ IP 192.251.68.254, đây có vẻ như là máy chủ điều khiển (C&C) của con malware này. Chúng ta cùng xem nó ẩn chứa điều gì đặc biệt nào!

Đầu tiên là Whois:

whois-ip-lookup

Không có gì ngạc nhiên khi whois địa chỉ IP này trỏ tới cái tên NBCUniversal (công ty sở hữu USA Network - nơi sản xuất ra series Mr. Robot).

Xem xét địa chỉ IP này qua cURL:

$ curl 192.251.68.254 -v
< HTTP/1.0 302 Found
< Location: http://i254.bxjyb2jvda.net/
$ curl http://i254.bxjyb2jvda.net/ -v
< HTTP/1.1 302 Moved Temporarily
< Location: http://i239.bxjyb2jvda.net
$ curl http://i239.bxjyb2jvda.net -v
< HTTP/1.1 200 OK

Truy cập vào trang cuối cùng được chuyển hướng tới: http://i239.bxjyb2jvda.net/

Đúng như nội dung trong phim thì trang web này cũng liên quan tới ransomeware khi hiển thị thông điệp "YOUR PERSONAL FILES ARE ENCRYPTED" (các tập tin cá nhân của bạn đã bị mã hóa) và một đồng hồ đếm ngược 24 giờ. Bạn có thể ngồi chờ (nếu rảnh) hoặc chỉ việc kiểm tra tập tin JavaScript nằm cuối mã nguồn của trang web.

Tập tin này chứa mã điều khiển đồng hồ đếm ngược, bạn sẽ tìm thấy một chuỗi bị mã hóa Base64 trong tập tin JS này. Đây chính là tin nhắn sẽ được hiển thị sau khi kết thúc 24 giờ. Giải mã ra sẽ được:

"I sincerely believe that banking establishments are more dangerous than standing armies, and that the principle of spending money to be paid by posterity, under the name of funding, is but swindling futurity on a large scale." – Thomas Jefferson

Bạn nào không hiểu thì copy qua Google Dịch nhé!

Kiểm tra chứng chỉ SSL của máy chủ web này, tôi cũng phát hiện ra nhiều tên miền khác có liên quan tới Mr. Robot trong phần Subject Alternative Names:

dns-domains

DNS Name=*.bxjyb2jvda.net
DNS Name=iammrrobot.com
DNS Name=www.e-corp-usa.com
DNS Name=*.seeso.com
DNS Name=realtimetranslation.net
DNS Name=conficturaindustries.com
DNS Name=www.whoismrrobot.com
DNS Name=e-corp-usa.com
DNS Name=www.whereismrrobot.com
DNS Name=seeso.com
DNS Name=whoismrrobot.com
DNS Name=fsoc.sh
DNS Name=www.iammrrobot.com
DNS Name=whereismrrobot.com
DNS Name=racksure.com
DNS Name=*.evil-corp-usa.com
DNS Name=www.conficturaindustries.com
DNS Name=www.racksure.com
DNS Name=evil-corp-usa.com
DNS Name=www.fsoc.sh
DNS Name=*.serverfarm.evil-corp-usa.com
DNS Name=www.realtimetranslation.net
DNS Name=*.e-corp-usa.com
DNS Name=www.seeso.com

Ở tập một Session 2 các bạn cũng sẽ để ý là Eliot đăng nhập vào bkuw300ps345672-cs30.serverfarm.evil-corp-usa.com thông qua SSH.

ssh -l root bkuw300ps345672-cs30.serverfarm.evil-corp-usa.com

Đối với câu đố tại https://fsoc.sh:

Nếu bạn quan sát trang này, bạn sẽ chú ý rằng con trỏ nhấp nháy không được bình thường. Nó nhấp nháy theo khoảng thời gian ngẫu nhiên. Không khó để nhận ra rằng đây là mã Morse, nhưng tôi rất ngại giải quyết những thứ như này theo cách thủ công. Vì vậy, chúng ta sẽ làm theo cách kỹ thuật.

Xem tập tin: https://www.fsoc.sh/assets/main.js

addHandlers: function() {
  var t = this;
  this.$(".eye__form").on("submit", this.handleSubmit), this.textView.on("typingEnded", function() {
    t.appendEye(), t.startCursor("MzkzMzUzNTM5NTMzMzk1Mzc5OTUzNzMzMzM1MzUzOTM1Mw==")
  })
},
startCursor: function(t) {
  var e = this;
  e.$(".eye__cursor").css("opacity", 0).removeClass("typing"), setTimeout(function() {
    e.handleBlinkTime(window.atob(t), 0)
  }, 500)
},
handleBlinkTime: function(t, e) {
  var n = 300,
    r = t.charAt(e),
    i = 0,
    o = n;
  switch (r) {
    case "9":
      i = 3 * n;
      break;
    case "3":
      i = n;
      break;
    case "5":
      o = 3 * n;
      break;
    case "7":
      o = 7 * n
  }
  var u = this;
  i && u.$(".eye__cursor").css("opacity", 1), setTimeout(function() {
    u.$(".eye__cursor").css("opacity", 0), setTimeout(function() {
      t.length > e + 1 ? u.handleBlinkTime(t, e + 1) : setTimeout(function() {
        u.handleBlinkTime(t, 0)
      }, 4e3)
    }, o)
  }, i)
};

t.startCursor("MzkzMzUzNTM5NTMzMzk1Mzc5OTUzNzMzMzM1MzUzOTM1Mw==") là thứ kiểm soát tốc độ nháy của con trỏ. Giải mã đoạn Base64 sẽ được: 3933535395333953799537333353539353

Dựa theo đoạn switch trong hàm handleBlinkTime() thì:

  • 3 là một dấu chấm "."
  • 5 ngăn cách các ký tự " "
  • 7 đại diện cho một khoảng cách (space) trong Morse "/"
  • và 9 là một dấu gạch ngang "-"

Như vậy, đoạn số kia tương ứng với: .-.. . .- ...- ./-- ./.... . .-. .

Đối chiếu với bảng mã Morse:

morse-code

Ra được chuỗi: LEAVE ME HERE

Cuối cùng, nhập chuỗi vừa tìm được vào Form ở cuối trang và nhấn Enter, các bạn sẽ được chuyển tới trang này:

mr-robot

Chào mừng đến với fsociety! :wink:


@Juno_okyo theo 0x41.no

:point_right: Theo dõi Juno_okyo trên Kipalog · Facebook · Twitter · Google+

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Juno_okyo

24 bài viết.
846 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
150 15
(Ảnh) Biểu thức chính quy (hay regex) là một công cụ mạnh mẽ mà mỗi nhà phát triển nên biết. Nó có thể khớp với một chuỗi các ký tự dựa trên các t...
Juno_okyo viết gần 3 năm trước
150 15
White
82 15
(Ảnh) Trong bài viết này tôi sẽ chia sẻ 12 thủ thuật vô cùng hữu ích cho JavaScript. Những thủ thuật này sẽ giúp bạn giảm lượng code cũng như làm ...
Juno_okyo viết hơn 1 năm trước
82 15
White
57 6
Bạn thấy chán các trang web cũ? Muốn tìm một vài góc mới của Internet để giúp bạn tìm lại sự hứng thú? Tốt thôi, bạn đã gặp may đấy. Dù bạn đang tì...
Juno_okyo viết gần 2 năm trước
57 6
Bài viết liên quan
White
11 4
(Link) (Link) (Link) Ở 2 phần tut trước, mình đã hướng dẫn khá chi tiết cách viết một ứng dụng camera có tích hợp chức năng nhận diện khuôn mặ...
HoangPH viết hơn 3 năm trước
11 4
White
20 4
(Ảnh) Nếu máy tính của bạn đã bị lây nhiễm, mã độc có thể lây lan tới trang web của bạn thông qua trình soạn thảo văn bản và (Link). Dùng các mật ...
Juno_okyo viết hơn 1 năm trước
20 4
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
24 bài viết.
846 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!