新規
編集
添付- 概要
- ARRS teminal
- 0.Guest
- 1.defaultuser
- 2.observer14-4
- 2-1.ログイン
- 2-2.ユーザー情報
- 2-3.閲覧できるファイル
- 2-3-1.HL692_01.10.2022
- 2-3-2.ZACPA_01.10.2022
- 2-3-3.GS55F_01.10.2022
- 2-3-4.5AL5U_01.10.2022
- 2-3-5.serious_job_thing.txt
- 2-3-6.ARRS_NODE_14-4_28.09.2022.log
- 2-3-7.ARRS_NODE_14-4_29.09.2022.log
- 2-3-8.ARRS_NODE_14-4_01.10.2022.log
- 2-3-9.ARRS_NODE_14-4_02.10.2022.log
- 2-3-10.ARRS_NODE_14-4_03.10.2022.log
- 2-3-11.ARRS_NODE_14-4_04.10.2022.log
- 2-3-12.暗号化された文字列を復号
- 2-3-13.各ファイルから確認できること
- 3.rook
- 3-1.ログイン
- 3-2.ユーザー情報
- 3-3.閲覧できるファイル
- 3-3-1.JH692_23.12.2021
- 3-3-2.ZBZG2_03.10.2022
- 3-3-3.UU5GK_03.10.2022
- 3-3-4.L815U_04.10.2022
- 3-3-5.report_03.10.2022.report
- 3-3-6.report_07.09.2022.report
- 3-3-7.(INV-15)ARRS_NODE_14-4_10.10.2015.log
- 3-3-8.(INV-15)ARRS_NODE_14-4_15.10.2015.log
- 3-3-9.(INV-15)ARRS_NODE_14-4_27.10.2015.log
- 3-3-10.各ファイルから確認できること
- 3-3-11.ceasarのパスワードの導き方
- 4.officer20-28
- 5.ceasar
- コメント
- 備考
概要 
BSG主催の現実世界も舞台となるユーザー参加型のARGイベントです。
Lightkeeperの実装やSoTに繋がるのではないかと推測されています。
はじまり
動画の簡単な概要
Ryzhy(黒いバラクラバ)とChepushila(黒いニット)が登場し、2人が会話をします。
会話の内容から、Ryzhyは行方不明になった父親を探していることが分かります。
Ryzhyの父親が最後に目撃されたのはFactoryで、誰かが父親を誘拐したことが分かります。
そして、父親が誘拐された頃にLightkeeper(実装予定のインレイドトレーダー)が存在感を表したことが分かります。
※動画内で、キラとタギラのような人物も登場しています。
Ryzhyは飢え死にしないように耐えながら、Lightkeeperに一矢報いようと企んでいるようですが、
大量の地雷や警備員、スナイパーがLightkeeperを守っていることが噂になっていることに懸念を抱いているようです。
ChepushilaはRyzhyの話を聞いて、所在不明のミスター・カーマンという人物のことを伝え、手がかりとなるメモをRyzhyに手渡します。
メモに書かれてる内容
arrs.host
defaultuser
123456test
ARRS teminal
ARRS terminalの操作方法、断片化された情報のたどり方について説明します。
ログイン情報
ARRS terminal
https://arrs.host/
ARRS terminalにログインできるアカウント一覧です。
このページでは、1~5まで解説しています。
1
user:defaultuser
pass:123456test
2
user:observer14-4
pass:69w6k73j61m6y69l74w79
3
user:rook
pass:lknl8vm8khyrulzz
4
user:officer20-28
pass:GF2GQZLZONSWKMRU
5
user:ceasar
pass:49s48s47s46s44
6
user:warden
pass:O5SXIMZRO5QXIZLS
7
user:admin
pass:
0.Guest
0-1.ログイン
(1)https://arrs.host/ に接続してみると、Linuxのようなプロンプトが表示されていることが分かります。どうやらGuestユーザーとしてコマンドを入力できるようです。
(2)「help」と入力すると、Guestで使用できるコマンドが表示されます。helpとloginのコマンドのみARRS terminalへ投入できることが分かります。
1.defaultuser
1-1.ログイン
(1)Guestのプロンプトが表示されてることを確認して、ChepushilaがRyzhyへ手渡したメモの内容をもとにログインしてみましょう。
(2)「login defaultuser」と入力後にEnterを押し、パスワードを聞かれたら「123456test」と入力しEnterを押してください。
(3)プロンプトがGuestからdefaultuserになればログイン成功です。
1-2.ユーザー情報
(1)以下のコマンドを入力して使えるコマンドをみてみましょう。
help
help,login,logout,note,notes,user,file,dirのコマンドが入力できることが分かります。
(2)以下のコマンドを入力して、ARRS terminal内のdefaultuserのアカウント情報を確認します。
user
Welcome to main Automated Radio Relay Service.
You're logged in as "defaultuser".
October 17, 2022, 7:45 am.
Your IP: 127.0.0.1
[ defaultuser@arrs.host : ~ ] # user
##################################################
Login: defaultuser
Access level: observer
Name: System user
Status: Active
############
Description:
Default user for ARRS terminal.
Use it as a profile template or to run terminal test.
############
Notes:
Template profile, automaticly created 15.10.2012.
Please, do not use this profile or store any valiable data in it!
Nothing at all! None! Period!
We’ve spotted system vulnerability with this profile, exploited during last attack.
I’ve been checking this profile for a while since then, and kept clearing it out of data.
Considering current situation, I can’t communicate with this Node operator directly.
But, by gods! Read this note before using this profile, I beg you!
User can’t be removed! It is a serious issue, which can’t be patched!
Keep it empty and everything will be okay.
Tech. 92 / 4
##################################################
[ defaultuser@arrs.host : ~ ] #
1-3.閲覧できるファイル
(1)以下の2つのコマンドを入力して閲覧できるファイルを見てみましょう。
notes dir
6つのファイルが表示されたことが確認できました。
[ defaultuser@arrs.host : ~ ] # notes HW692_17.09.2019 ZB2SA_27.10.2019 NRUJA_12.12.2021 2D25U_14.09.2022 3ND00_05.10.2022
[ defaultuser@arrs.host : ~ ] # dir not_important.txt [ defaultuser@arrs.host : ~ ] #
1-3-1.HW692_17.09.2019
(1)notesコマンドで出力された1つ目のファイルの中身を確認してみましょう。
ARRS terminalでは、notesでファイルの一覧を確認して、noteで閲覧することができます。
note HW692_17.09.2019
[deepl翻訳]
もう我慢できない!
せっかく時間をかけて作ったのに、まだ不安定なのか!
みんな疲れているから、テンションが高い。
もう二度とこんなことはしない。こんなに辛い思いをする人はいないはずです。
[ defaultuser@arrs.host : ~ ] # note HW692_17.09.2019
######
I can’t take it anymore!
We’ve spent all of the time possible and this thing is still unstable!
The tension is so high, because of how tired everyone is.
There is no way we’ll do things like that again, EVER! Noone should ever feel so much pain.
######
[ defaultuser@arrs.host : ~ ] #
1-3-2.HW692_17.09.2019
(1)notesコマンドで出力された2つ目のファイルの中身を確認してみましょう。
note ZB2SA_27.10.2019
[deepl翻訳]
よかった、発売されましたね。
クライアントが超満足してくれたのは奇跡的なことです。そして、クラッシュしたりしなかったこと。最後には動いた。
1ヶ月ほど、睡眠不足で外出中です。
[ defaultuser@arrs.host : ~ ] # note ZB2SA_27.10.2019
######
Thank god, we’ve released it.
It is a miracle that clients were super happy with it. And that it didn’t crash or anything. It worked at the end.
I’m out for sleep, for a month or so.
######
[ defaultuser@arrs.host : ~ ] #
1-3-3.NRUJA_12.12.2021
(1)notesコマンドで出力された3つ目のファイルの中身を確認してみましょう。
note NRUJA_12.12.2021
[deepl翻訳]
その結果、私を含めて全員が本当に満足しています。そして、クライアントも喜んでくれています。
このような納品の仕方は、本当に気分が違います。自分の力を解放して、その結果を見ることができるのですから。とても満足です。
[ defaultuser@arrs.host : ~ ] # note NRUJA_12.12.2021
######
That was some huge chunk of work and we all, including me, are really happy with the result. Oh, and clients are also happy.
It really feels different, to deliver things this way. Because you’ve managed to release your efforts and observe the result. So satisfying.
######
[ defaultuser@arrs.host : ~ ] #
1-3-4.2D25U_14.09.2022
(1)notesコマンドで出力された4つ目のファイルの中身を確認してみましょう。
note 2D25U_14.09.2022
[考察]
Macアドレスが書かれたメモのようです。
0c:0d:61:1d:3f:01がネットワーク上で変な動きをしていると記載があります。
[ defaultuser@arrs.host : ~ ] # note 2D25U_14.09.2022
######
Need to change hardware
0b:06:17:0d:1f:05 PCU and Network
0a:06:28:0d:2f:03 PCU
00:02:18:1d:2f:01 PCU
Also, 0c:0d:61:1d:3f:01 works kinda wierd, throwing some random requests all over network.
######
[ defaultuser@arrs.host : ~ ] #
1-3-5.3ND00_05.10.2022
(1)notesコマンドで出力された5つ目のファイルの中身を確認してみましょう。
note 3ND00_05.10.2022
- 考察
- 「observer14-4」というアカウントが存在することが確認できました。
[deepl翻訳]
くそー、またdefaultuserでログインしてしまった。どうりでアクセス権がないわけだ。
ログイン名とパスワードをどこかに書いておかないと。デスク以外の場所に。警備員はアホだ。彼らは机の上にあるあなたのログインとパスワードのペアを見つけ、それを変更するでしょう。言うまでもないが、彼らはあなたを脅迫し始め、いろいろと要求してくる。私はビールを何杯も借りているので、二度とそんなことはさせません。
ログイン: observer14-4
セキュリティのため、パスワードは別の場所に保管する必要があります。
[ defaultuser@arrs.host : ~ ] # note 3ND00_05.10.2022
######
Damn it, I’m logged as defaultuser again. No wonder I’m lacking some access.
Note to self - need to write my login and password somewhere. Outside of my desk. Security officers are dicks. They will find your login-pass pair on the desk and will change it. Not to mention, that they will start blackmailing you and ask for stuff. I owe too many beers to let that happen again.
Login: observer14-4
Need to store password somewhere else, for security.
######
[ defaultuser@arrs.host : ~ ] #
1-3-6.not_important.txt
(1)dirコマンドで出力されたファイルの中身を確認してみましょう。
ARRS terminalでは、dirでディレクトリ上のファイルの一覧を確認して、fileで閲覧することができます。
file not_important.txt
[翻訳]
ここで見るものはありません。
69w6k73j61m6y69l74w79
[ defaultuser@arrs.host : ~ ] # file not_important.txt
nothing to see here
69w6k73j61m6y69l74w79
[ defaultuser@arrs.host : ~ ] #
1-3-7.各ファイルから確認できること
- 「1-2」の内容から、defaultuserは悪用されていることが確認できます。
- 「1-3-5」の内容から、「observer14-4」のユーザー名がARRS terminalに存在することが確認できます。
- 「1-3-6」の内容から、パスワードのような文字列が確認できます。
- ここまでで判明したログイン情報は、「user:observer14-4」「pass:69w6k73j61m6y69l74w79」だと考えられます。
2.observer14-4
2-1.ログイン
(1)defaultuserでログイン中の場合は、logoutと入力しGuestになってください。
※defaultuserからobserver14-4にはログインできません。
(2)「login observer14-4」と入力後にEnterを押し、パスワードを聞かれたら「69w6k73j61m6y69l74w79」と入力しEnterを押してください。
(3)プロンプトがGuestからobserver14-4になればログイン成功です。
2-2.ユーザー情報
(1)以下のコマンドを入力して使えるコマンドをみてみましょう。
help
help,login,logout,note,notes,user,file,dirのコマンドが入力できることが分かります。
(2)以下のコマンドを入力して、ARRS terminal内のobserver14-4のアカウント情報を確認します。
user
[ observer14-4@arrs.host : ~ ] # user
##################################################
Login: observer14-4
Access level: observer
Name: Undefiened
Status: Active
############
Description:
Main profile for ARRS terminal managment.
############
Notes:
##################################################
[ observer14-4@arrs.host : ~ ] #
2-3.閲覧できるファイル
(1)以下の2つのコマンドを入力して閲覧できるファイルを見てみましょう。
notes dir
10個のファイルが表示されたことが確認できました。
[ observer14-4@arrs.host : ~ ] # notes
HL692_01.10.2022
ZACPA_01.10.2022
GS55F_01.10.2022
5AL5U_01.10.2022
[ observer14-4@arrs.host : ~ ] # dir
serious_job_thing.txt
ARRS_NODE_14-4_28.09.2022.log
ARRS_NODE_14-4_29.09.2022.log
ARRS_NODE_14-4_01.10.2022.log
ARRS_NODE_14-4_02.10.2022.log
ARRS_NODE_14-4_03.10.2022.log
ARRS_NODE_14-4_04.10.2022.log
[ observer14-4@arrs.host : ~ ] #
2-3-1.HL692_01.10.2022
(1)notesコマンドで出力された1つ目のファイルの中身を確認してみましょう。
note HL692_01.10.2022
[deepl翻訳]
新しいパスワードを覚えるのは本当に大変だ!
どうやって覚えればいいんだ!
defaultuserがあるので、誰も私が使っていることを知りません。
ただ、この小さな秘密は、私の「同僚」であるPetrから守らなければなりません。
あのバカ面、実績、そしてなんだかんだで彼の方が重要な従業員。
僕はこの男がとても嫌いだ。
彼は、私と違って、翻訳された苗字と同じカスタムユーザー名まで手に入れました! なんなんだ、こいつは!?
彼は神ではない、私に言わせればただのオタクだ。
- 考察
- Petrという同僚がおり、Petrの苗字を翻訳したものがアカウント名になることが分かります。
※翻訳前の苗字とパスワードになりそうな情報はまだ分かりません。
- Petrという同僚がおり、Petrの苗字を翻訳したものがアカウント名になることが分かります。
[ observer14-4@arrs.host : ~ ] # note HL692_01.10.2022
######
Remembering new password is really hard!
How am I suppose to remember this?!
I’m glad there is defaultuser, which noone knows that I’m using.
Just need to keep this little secret safe from my “colleague” Petr.
With his stupid face and achievements and he is somehow more important employee.
I hate this guy so much.
He even got a custom username matching his translated surname, unlike me! What the heck?!
He is not a god, just some nerd, if you ask me.
######
[ observer14-4@arrs.host : ~ ] #
2-3-2.ZACPA_01.10.2022
(1)notesコマンドで出力された2つ目のファイルの中身を確認してみましょう。
note ZACPA_01.10.2022
[deepl翻訳]
今、コーヒーを飲むのに苦労しているのは誰だと思う? 私ではない。
ペトルという人です。
そうだ、ペトル、今すぐマグカップを探してみてください。
[ observer14-4@arrs.host : ~ ] # note ZACPA_01.10.2022
######
Guess who is having trouble drinking coffee now? Not me.
But someone named Petr.
Yeah, Petr, try to find your mug now.
######
[ observer14-4@arrs.host : ~ ] #
2-3-3.GS55F_01.10.2022
(1)notesコマンドで出力された3つ目のファイルの中身を確認してみましょう。
note GS55F_01.10.2022
- 考察
- Grachはrookと翻訳されることがあるようです。
[ observer14-4@arrs.host : ~ ] # note GS55F_01.10.2022
######
Ah silly Petr, still trying to find his mug.
No more sweet coffee for you, my dear friend.
Eugene 1, Petr stupid smirk Grach 0, haha.
######
[ observer14-4@arrs.host : ~ ] #
2-3-4.5AL5U_01.10.2022
(1)notesコマンドで出力された4つ目のファイルの中身を確認してみましょう。
note 5AL5U_01.10.2022
[deepl翻訳]
さて、私は困っている。
大きなトラブルだ。
私はより良い迅速な何かを考えています。
マグカップがバレた
でもどうやって?
[ observer14-4@arrs.host : ~ ] # note 5AL5U_01.10.2022
######
Well, I’m in trouble.
Some big trouble.
I better think of something quick.
They’ve figured out about the mug.
But how?
######
[ observer14-4@arrs.host : ~ ] #
2-3-5.serious_job_thing.txt
(1)dirコマンドで出力された1つ目のファイルの中身を確認してみましょう。
file serious_job_thing.txt
2-3-6.ARRS_NODE_14-4_28.09.2022.log
(1)dirコマンドで出力された2つ目のファイルの中身を確認してみましょう。
file ARRS_NODE_14-4_28.09.2022.log
- 考察
- 何者(E621-092)かがログイン時にパスワードを間違えてブロックされてるようです。
[ observer14-4@arrs.host : ~ ] # file ARRS_NODE_14-4_28.09.2022.log
[ ERROR LOG ARRS_NODE_14-4_28.09.2022]
28.09.2022 9:00:47 UTC +3 LoginError: Invalid password, Attempt: 1
28.09.2022 9:01:22 UTC +3 LoginError: Invalid password, Attempt: 2
28.09.2022 9:15:10 UTC +3 LoginError: Invalid password, Attempt: 3
28.09.2022 9:16:23 UTC +3 LoginError: Invalid password, Attempt: 4
28.09.2022 9:17:16 UTC +3 LoginError: Invalid password, Attempt: 5
28.09.2022 9:29:24 UTC +3 LoginError: Invalid password, Unit “E621-092” temporarily blocked
[ ERROR LOG END ]
2-3-7.ARRS_NODE_14-4_29.09.2022.log
(1)dirコマンドで出力された3つ目のファイルの中身を確認してみましょう。
file ARRS_NODE_14-4_29.09.2022.log
- 考察
- 何者(E621-092)かがログイン時にパスワードを間違えてブロックされてるようです。
※ログのファイル名をみると、1日でブロックが解除されることが分かります。
- 何者(E621-092)かがログイン時にパスワードを間違えてブロックされてるようです。
[ observer14-4@arrs.host : ~ ] # file ARRS_NODE_14-4_29.09.2022.log
[ ERROR LOG ARRS_NODE_14-4_29.09.2022]
29.09.2022 9:00:17 UTC +3 LoginError: Invalid password, Attempt: 1
29.09.2022 9:03:22 UTC +3 LoginError: Invalid password, Attempt: 2
29.09.2022 9:13:00 UTC +3 LoginError: Invalid password, Attempt: 3
29.09.2022 9:15:03 UTC +3 LoginError: Invalid password, Attempt: 4
29.09.2022 9:17:06 UTC +3 LoginError: Invalid password, Attempt: 5
29.09.2022 9:22:24 UTC +3 LoginError: Invalid password, Unit “E621-092” temporarily blocked
[ ERROR LOG END ]
2-3-8.ARRS_NODE_14-4_01.10.2022.log
(1)dirコマンドで出力された4つ目のファイルの中身を確認してみましょう。
file ARRS_NODE_14-4_01.10.2022.log
- 考察
- 何者(E621-092)かがログイン時にパスワードを間違えてブロックされてるようです。
[ observer14-4@arrs.host : ~ ] # file ARRS_NODE_14-4_01.10.2022.log
[ ERROR LOG ARRS_NODE_14-4_01.10.2022]
01.10.2022 9:33:21 UTC +3 LoginError: Invalid password, Attempt: 1
01.10.2022 9:33:34 UTC +3 LoginError: Invalid password, Attempt: 2
01.10.2022 9:33:47 UTC +3 LoginError: Invalid password, Attempt: 3
01.10.2022 9:33:56 UTC +3 LoginError: Invalid password, Attempt: 4
01.10.2022 9:34:27 UTC +3 LoginError: Invalid password, Attempt: 5
01.10.2022 9:35:14 UTC +3 LoginError: Invalid password, Unit “E621-092” temporarily blocked
[ ERROR LOG END ]
2-3-9.ARRS_NODE_14-4_02.10.2022.log
(1)dirコマンドで出力された5つ目のファイルの中身を確認してみましょう。
file ARRS_NODE_14-4_02.10.2022.log
- 考察
- 何者(E621-092)かがログイン時にパスワードを間違えてブロックされてるようです。
[ observer14-4@arrs.host : ~ ] # file ARRS_NODE_14-4_02.10.2022.log
[ ERROR LOG ARRS_NODE_14-4_02.10.2022]
02.10.2022 9:21:11 UTC +3 LoginError: Invalid password, Attempt: 1
02.10.2022 9:23:24 UTC +3 LoginError: Invalid password, Attempt: 2
02.10.2022 9:25:51 UTC +3 LoginError: Invalid password, Attempt: 3
02.10.2022 9:28:12 UTC +3 LoginError: Invalid password, Attempt: 4
02.10.2022 9:31:34 UTC +3 LoginError: Invalid password, Attempt: 5
02.10.2022 9:32:11 UTC +3 LoginError: Invalid password, Unit “E621-092” temporarily blocked
[ ERROR LOG END ]
2-3-10.ARRS_NODE_14-4_03.10.2022.log
(1)dirコマンドで出力された6つ目のファイルの中身を確認してみましょう。
file ARRS_NODE_14-4_03.10.2022.log
- 考察
- 何者(E621-092)かがログイン時にパスワードを間違えてブロックされてるようです。
[ observer14-4@arrs.host : ~ ] # file ARRS_NODE_14-4_03.10.2022.log
[ ERROR LOG ARRS_NODE_14-4_03.10.2022]
03.10.2022 9:11:33 UTC +3 LoginError: Invalid password, Attempt: 1
03.10.2022 9:13:31 UTC +3 LoginError: Invalid password, Attempt: 2
03.10.2022 9:15:21 UTC +3 LoginError: Invalid password, Attempt: 3
03.10.2022 9:18:25 UTC +3 LoginError: Invalid password, Attempt: 4
03.10.2022 9:21:31 UTC +3 LoginError: Invalid password, Attempt: 5
03.10.2022 9:22:09 UTC +3 LoginError: Invalid password, Unit “E621-092” temporarily blocked
[ ERROR LOG END ]
2-3-11.ARRS_NODE_14-4_04.10.2022.log
(1)dirコマンドで出力された7つ目のファイルの中身を確認してみましょう。
file ARRS_NODE_14-4_04.10.2022.log
- 考察
- 何者かが(おそらくE621-092)が認証に成功しログインできたようです。
- 「Warning! 90% of memory used!」というログから、システムに負荷がかかっているようです。
- 「EncryptedConnectionFailed」というログから、どこかへの接続が失敗したことが分かります。
- 「Transmission overload」というログから、ネットワークに負荷を与えていることが分かります。
- 「Trace source MAC: 0c:0d:61:1d:3f:01」というログから、0c:0d:61:1d:3f:01のMacアドレスを持つ端末が原因であることが判明します。
- ここで、「1-3-4」と繋がります。ここのログをシステム管理者が認識したようですが、対処したのかはまだ分かりません。
- 「04.10.2022 16:51:40」の3行のログから、送信が中断されたものが確認できます。Base32でエンコードされた文字列のようなので、Base32でデコードすることができます。デコードする際は、スペースと改行は削除する必要があります。
[ observer14-4@arrs.host : ~ ] # file ARRS_NODE_14-4_04.10.2022.log
[ ERROR LOG ARRS_NODE_14-4_04.10.2022]
04.10.2022 9:09:03 UTC +3 LoginError: Invalid password, Attempt: 1
04.10.2022 9:22:11 UTC +3 LoginError: Invalid password, Attempt: 2
04.10.2022 9:24:01 UTC +3 LoginError: Invalid password, Attempt: 3
04.10.2022 12:18:25 UTC +3 Warning! 90% of memory used! Report to the tech team immidiatly!
04.10.2022 14:21:31 UTC +3 Warning! 90% of memory used! Report to the tech team immidiatly!
04.10.2022 15:22:09 UTC +3 Warning! 90% of memory used! Report to the tech team immidiatly!
04.10.2022 16:51:39 UTC +3 Error: EncryptedConnectionFailed 99123
04.10.2022 16:51:39 UTC +3 Error: Transmission overload
04.10.2022 16:51:39 UTC +3 Fatal error:
04.10.2022 16:51:39 UTC +3 Trace source MAC: 0c:0d:61:1d:3f:01
04.10.2022 16:51:40 UTC +3 Error: Transmission Interrupted: IFZGK IDZN52SA 3DPN5V WS3THE
04.10.2022 16:51:40 UTC +3 Error: Transmission Interrupted: BTG64RA ORUGS4Z7H4 FHA5Z2 EBWG
04.10.2022 16:51:40 UTC +3 Error: Transmission Interrupted: W3TMHB3G2O DLNB4XE5LMPJ 5AUWLPOVZC A53FNRRW6 3LF
[ ERROR LOG END ]
[ observer14-4@arrs.host : ~ ] #
2-3-12.暗号化された文字列を復号
(1)暗号化された文字列
・「2-3-11」で見つけたBase32でエンコードされた文字列
IFZGK IDZN52SA 3DPN5V WS3THE BTG64RA ORUGS4Z7H4 FHA5Z2 EBWG W3TMHB3G2O
(2)復号化
・デコードする際は、スペースと改行は削除する必要があります。
2-3-13.各ファイルから確認できること
- 「1-3-4」でネットワーク上で変な動きをしていると記載のあったMacアドレスが「2-3-11」のログから出力されたMacアドレスと同一であることが分かります。
- 「2-3-3」から、英語でrookと翻訳されるGrachが確認できます。※ちょっと自信ない。
※一例として、Grachはミヤマガラスのことで英語でrookと翻訳されるそうです。 - observer14-4は不正アクセスされたことが「2-3-6」~「2-3-11」のログから確認できます。
- 「2-3-12」から、パスワードが「lknl8vm8khyrulzz」だと確認できます。
- ここまでで判明したログイン情報は、「user:rook」「pass:lknl8vm8khyrulzz」だと考えられます。
3.rook
3-1.ログイン
(1)Guest状態で、以下のコマンドを入力しログインします。
login rook lknl8vm8khyrulzz
(2)プロンプトがGuestからrookになればログイン成功です。
3-2.ユーザー情報
(1)以下のコマンドを入力して使えるコマンドをみてみましょう。
help
help,login,logout,note,notes,user,file,dirのコマンドが入力できることが分かります。
(2)以下のコマンドを入力して、ARRS terminal内のrookのアカウント情報を確認します。
user
[ rook@arrs.host : ~ ] # user
##################################################
Login: rook
Access level: analyst
Name: Petr Grach
Status: Active
############
Description:
Terminal super operator since 27.07.2017.
Promoted for high score at ARRS T.E.P. exam and previous achievements as operator of Node 14-2 and Node 14-1.
Achieved high peroformance of Node 14-2 and Node 14-1. Analytics expert.
Not married.
Ex-military officer in the rank of lieutenant.
Military experience of several campaings.
############
Notes:
##################################################
[ rook@arrs.host : ~ ] #
3-3.閲覧できるファイル
(1)以下の2つのコマンドを入力して閲覧できるファイルを見てみましょう。
notes dir
10個のファイルが表示されたことが確認できました。
[ rook@arrs.host : ~ ] # notes
JH692_23.12.2021
ZBZG2_03.10.2022
UU5GK_03.10.2022
L815U_04.10.2022
[ rook@arrs.host : ~ ] # dir
report_03.10.2022.report
report_07.09.2022.report
(INV-15)ARRS_NODE_14-4_10.10.2015.log
(INV-15)ARRS_NODE_14-4_15.10.2015.log
(INV-15)ARRS_NODE_14-4_27.10.2015.log
3-3-1.JH692_23.12.2021
(1)notesコマンドで出力された1つ目のファイルの中身を確認してみましょう。
note JH692_23.12.2021
[deepl翻訳]
依頼された問題調査のためのデータを収集しました。ファイルはこのプロファイルに添付され、"INV-15 "と表示されています。
世界中の隠れたARRSノードへのDDoS攻撃のように見えます。誰かがいつどこで攻撃するか知っていた
スパイか何かだろう コピーをL.T.O.と技術チームに送ります。
[ rook@arrs.host : ~ ] # note JH692_23.12.2021
######
I’ve collected data for issue investigation as requested. The files are attached to this profile, marked “INV-15”.
It does look like a DDoS attack of several hidden ARRS nodes across the globe. Someone knew where to strike and when.
I assume we have a spy or something. The copy is sent to L.T.O. an Tech. team.
######
3-3-2.ZBZG2_03.10.2022
(1)notesコマンドで出力された2つ目のファイルの中身を確認してみましょう。
note ZBZG2_03.10.2022
- 考察
- 細かい事はまだ分からないので記載できないですが、この文章はBase64で暗号化された文章と平分の文章が組み合わさったものだと考えられます。なので、暗号化された部分を復号化すればOKです。
- 上記から、「cHc6 IEdG MkdRW kxaT zwuLi4+」を抜き出し、スペースを削除してBase64でデコードします。
- 「pw: GF2GQZLZO<...>」を特定することができました。
[ rook@arrs.host : ~ ] # note ZBZG2_03.10.2022
######
I mi#ht be wrong, %ut I saw system rebooting when I left the desk.
cHc6rything l%oks okay. No lo%s IEdG reboot.
I MkdRW lack kxaTntion, sin%e I can’t get zwuLi4+ cof%ee.
######
3-3-3.UU5GK_03.10.2022
(1)notesコマンドで出力された3つ目のファイルの中身を確認してみましょう。
note UU5GK_03.10.2022
- 考察
- この羅列してる数字はASCIIコードだと考えられます。なので、ASCII⇒文字列で10進数で変換すればOKです。
- 「This is the third time Eugine forgot his password.
I'm trying my best to help him. But He keeps failing.」を特定できました。
- この羅列してる数字はASCIIコードだと考えられます。なので、ASCII⇒文字列で10進数で変換すればOKです。
[ rook@arrs.host : ~ ] # note UU5GK_03.10.2022
######
84 104 105 115 32 105 115 32 116 104 101 32 116 104 105 114 100 32 116 105 109 101 32 69 117 103 105 110 101 32 102 111 114 103 111 116 32 104 105 115 32 112 97 115 115 119 111 114 100 46 32 10 73 39 109 32 116 114 121 105 110 103 32 109 121 32 98 101 115 116 32 116 111 32 104 101 108 112 32 104 105 109 46 32 66 117 116 32 72 101 32 107 101 101 112 115 32 102 97 105 108 105 110 103 46
######
3-3-4.L815U_04.10.2022
(1)notesコマンドで出力された4つ目のファイルの中身を確認してみましょう。
note L815U_04.10.2022
- 考察
- こちらもBase32で暗号化されたものが含まれた文章です。暗号化されたところをBase32で復号化すればOKです。
- #で囲まれてるところを復号化してみたら、文章になったのでおそらくこれです。
「The big fish, pw for w@%@## is : O5SXI<data corrupted> 」
- 「w@%@##」は「warden」ではないかと考えられます。
- 上記から、wardenのパスワードに「O5SXI」が含まれてそうなことが確認できます。
[ rook@arrs.host : ~ ] # note L815U_04.10.2022
######
I #KRUG#an’t believe Eugine s#KIDCN#le #y mug.
Th#t ex#FTSAZTJ#ains him s1#ONUCYID#irk and stupid jo#QO4QGM3#kes for t#3SEB3UAJ#he last 2ays.
He seem#KAEMRSA2#d like a nic1 pe#LTEA5CATZ#rsone, wh0 la#VKNMESPDEM#cks friends. #F2GCIDDN5Z#ut now, I’m ce#HE5LQORS#tain, he is just dumb. #WIPRA#
######
3-3-5.report_03.10.2022.report
(1)dirコマンドで出力された1つ目のファイルの中身を確認してみましょう。
file report_03.10.2022.report
- 考察
- これはBase64でエンコードされた暗号のようです。なのでBase64でデコードできる場所を探せばOKです。
- 「<...>NSWKMRU」が特定できました。「3-3-2」と関連のありそうなことが分かります。
- これはBase64でエンコードされた暗号のようです。なのでBase64でデコードできる場所を探せばOKです。
[ rook@arrs.host : ~ ] # file report_03.10.2022.report
file report_03.10.2022.txt
<- file ->
h2rvdlxO RcjnyK
ttNWeR BaxJ Xstt rv4D sTL m9a rn
7yM63 PmIJVCstgk Ha qfu OE0ao 2XIjPP 1cw9ZqFEvmSfHjQFQrbwgrUPFmXCQ
7dEle 5K0Qc6guSzK TY5UlUgCEbjf uvMXfKPWywkN
DfCSoa5WZvUfvs7l0ORHuDgC3XeveqDrZ79WUHP3
DiPo2Y70igcKCG0hknUu
PC4uLj5OU1dLTVJV data.
< - end of file ->
3-3-6.report_07.09.2022.report
(1)dirコマンドで出力された2つ目のファイルの中身を確認してみましょう。
file report_07.09.2022.report
- 考察
- 「eA7rything sWWuld be in ordbd」=「everything should be in order」
- 「officer20-28」がアカウントとして存在することが確認できます。
[ rook@arrs.host : ~ ] # file report_07.09.2022.report
file report_07.09.2022.txt
- file ->
pDGQTe 8AjNSY hFJOUtCD
0I RPv mlb7QuM cU CijaskU5n 9i8Bhm6
Todwm we aAH exwKcting a bug guest from the top. TQ warden himbpllf.
PrepaEQg everything in a rush, eA7rything sWWuld be in ordbd.
zZTyccv5 GuWGn82Q7 SrDQeZU xlmC7 Ycj
We are exSWcting him to oSvRupie UNIT J92-020, which is uRGd by officer20-28.
DfWefn GXM jTwWzz wjUSBpm yVVrFp 9WmbX
CvW DhM Km2LgY RXsOlsteu1aGVtqWy XpCT55bel0B OKISBOY 8rddMxj NjD6xs
- end of file ->
3-3-7.(INV-15)ARRS_NODE_14-4_10.10.2015.log
(1)dirコマンドで出力された3つ目のファイルの中身を確認してみましょう。
file (INV-15)ARRS_NODE_14-4_10.10.2015.log
- 考察
- 確認中
[ rook@arrs.host : ~ ] # file (INV-15)ARRS_NODE_14-4_10.10.2015.log
[ ERROR LOG ARRS_NODE_14-4_10.10.2015]
10.10.2015 9:33:21 UTC +3 MemoryError 002L-9921, Sector: 0xc00230e
10.10.2015 9:33:21 UTC +3 ErrorReadingFile D:/2c23r2$5yh@6
10.10.2015 9:33:21 UTC +3 ErrorReadingFile F:/wdal$kwed$2
10.10.2015 9:33:21 UTC +3 ErrorReadingFile A:/hDw22745
10.10.2015 9:33:21 UTC +3 FatalSystemError 01-18
[ ERROR LOG END ]
3-3-8.(INV-15)ARRS_NODE_14-4_15.10.2015.log
(1)dirコマンドで出力された4つ目のファイルの中身を確認してみましょう。
file (INV-15)ARRS_NODE_14-4_15.10.2015.log
- 考察
[ rook@arrs.host : ~ ] # file (INV-15)ARRS_NODE_14-4_15.10.2015.log
[ ERROR LOG ARRS_NODE_14-4_15.10.2015]
15.10.2015 9:33:21 UTC +3 MemoryError 002L-9921, Sector: 0xc00050e
15.10.2015 9:33:21 UTC +3 MemoryError 002L-9921, Sector: 0xc00402s
15.10.2015 9:33:21 UTC +3 MemoryError 002L-9921, Sector: 0xc04120f
15.10.2015 9:33:21 UTC +3 MemoryError 002L-9921, Sector: 0xc00000e
15.10.2015 9:33:21 UTC +3 MemoryError 002L-9921, Sector: 1xc00502d
15.10.2015 9:33:21 UTC +3 MemoryError 002L-9921, Sector: 1xc00156d
15.10.2015 9:33:21 UTC +3 ErrorReadingFile D:/KM@kamwdal$kwed$2w32c23r2$5yh@6
15.10.2015 9:33:21 UTC +3 ErrorReadingFile F:/^#jn2ghb#WD#89wj#d3tg4
15.10.2015 9:33:21 UTC +3 ErrorReadingFile D:/$n#jn2ghDw2274532j#d9067
15.10.2015 9:33:21 UTC +3 ErrorReadingFile S:/MR23n2ghb#WD# 15.10.2015 9:33:21 UTC +3 FatalSystemError 01-18
[ ERROR LOG END ]
3-3-9.(INV-15)ARRS_NODE_14-4_27.10.2015.log
(1)dirコマンドで出力された5つ目のファイルの中身を確認してみましょう。
file (INV-15)ARRS_NODE_14-4_27.10.2015.log
- 考察
- 「ceasar」というアカウントが確認できます。
- 「Transmission Interrupted:」のログは、Base32でエンコードされているのでデコードすればOK
- 「Not changing pw? Fine, lets set new pw for after reboot ##s##s##s##s##」というのが特定できました。
[ rook@arrs.host : ~ ] # file (INV-15)ARRS_NODE_14-4_27.10.2015.log
[ ERROR LOG ARRS_NODE_14-4_27.10.2015]
27.10.2015 14:55:21 UTC +3 LoginError: Invalid password, Attempt: 1
27.10.2015 14:55:21 UTC +3 LoginError: Invalid password, Attempt: 2
27.10.2015 14:55:21 UTC +3 LoginError: Invalid password, Attempt: 1
27.10.2015 14:55:22 UTC +3 LoginError: Invalid password, Attempt: 3
27.10.2015 14:55:22 UTC +3 LoginError: Invalid password, Attempt: 2
27.10.2015 14:55:22 UTC +3 LoginError: Invalid password, Attempt: 4
27.10.2015 14:55:23 UTC +3 UserData: ceasar Status: compromised
27.10.2015 14:55:23 UTC +3 UserData: ceasar Status: compromised
27.10.2015 14:55:23 UTC +3 UserData: ceasar Status: compromised
27.10.2015 14:55:23 UTC +3 UserDataProtectionProtocol: Activated
27.10.2015 14:55:23 UTC +3 UserDataProtectionProtocol: Attempting to change password
27.10.2015 14:55:24 UTC +3 Error: Transmission Interrupted: JZXXIIDDNBQW4Z3JNZTSA4
27.10.2015 14:55:24 UTC +3 UserDataProtectionProtocol: Attempting to change password
27.10.2015 14:55:24 UTC +3 Error: Transmission Interrupted: DXH4QEM2LOMUWCA3DFO
27.10.2015 14:55:24 UTC +3 UserDataProtectionProtocol: Attempting to change password
27.10.2015 14:55:25 UTC +3 Error: Transmission Interrupted: RZSA43FOQQG4ZLXEBYHO
27.10.2015 14:55:25 UTC +3 UserDataProtectionProtocol: Attempting to change password
27.10.2015 14:55:25 UTC +3 Error: Transmission Interrupted: IDGN5ZCAYLGORSXEIDSM
27.10.2015 14:55:25 UTC +3 UserDataProtectionProtocol: Attempting to change password
27.10.2015 14:55:25 UTC +3 Error: Transmission Interrupted: VRG633UEARSG4ZDENZSGI3TEMRXGIZD
[ ERROR LOG END ]
3-3-10.各ファイルから確認できること
- 「3-3-1」から、INV-15 の名前がついているフォルダは、問題調査のために収集されたデータであることが確認できます。
- 「3-3-1」から、L.T.O.という人物がいることが分かりますが、誰かはまだ分かりません。
- 「3-3-2」と「3-3-5.」から、パスワードが「GF2GQZLZONSWKMRU」であることが確認できます。
- 「3-3-4」から、何らかのアカウントのパスワードに「O5SXI」が含まれていることが確認できます。
- 「3-3-6」から、「officer20-28」がアカウントとして存在することが確認できます。
- 「3-3-9」から、「ceasar」のパスワードが「##s##s##s##s##」と関連していることが分かります。
- ここまでで判明したログイン情報は、「user:officer20-28」「pass:GF2GQZLZONSWKMRU」だと考えられます。
3-3-11.ceasarのパスワードの導き方
ここまでで不明な点は以下の2点です。
・L.T.O.は誰なのか、「##s##s##s##s##」の#に当てはまる文字は何なのか
・「O5SXI」は何に関連するパスワードなのか
ここで、公式wikiの「ARRS terminal」のページを確認すると答えが分かります。
ceasarについての記述があり、ceasar=L.T.O.だということがここで分かります。
#と数字の数が同じなのでパスワードも当てはめることができそうです。
当てはめると「49s48s47s46s44」になります。
これがceasarのパスワードだと推測できます。
改めて、ここまでで判明したログイン情報は2つのアカウントになります。
user:officer20-28 pass:GF2GQZLZONSWKMRU
user:ceasar pass:49s48s47s46s44
4.officer20-28
4-1.ログイン
(1)Guest状態で、以下のコマンドを入力しログインします。
user:officer20-28 pass:GF2GQZLZONSWKMRU
(2)プロンプトがGuestからceasarになればログイン成功です。
4-2.ユーザー情報
(1)以下のコマンドを入力して使えるコマンドをみてみましょう。
help
4-3.閲覧できるファイル
(1)以下のコマンドを入力して閲覧できるファイルを見てみましょう。
notes dir
4つのファイルが表示されたことが確認できました。
[ officer20-28@arrs.host : ~ ] # notes
no notes found
[ officer20-28@arrs.host : ~ ] # dir
ARRS_NODE_14-4_13.09.2021.log
operation_report_05.08.2022.report
operation_report_07.09.2022.report
operation_report_09.10.2022.report
[ officer20-28@arrs.host : ~ ] #
4-3-1.ARRS_NODE_14-4_13.09.2021.log
(1)dirコマンドで出力された1つ目のファイルの中身を確認してみましょう。
dir ARRS_NODE_14-4_13.09.2021.log
- 考察
- C2のCはシーザー暗号、2はシフトさせる数だと考えられます。アルファベットと数字のシフトが必要です。
シフト前: zE7ty1KezEjpXQZryUPizESeaEjjW0S4GC9ySi69 シフト後: bG9va3MgbGlrZSBtaWRkbGUgcGllY2U4IE1aUk81
- シフト後の文字列をBase64でデコードします。
- 「looks like middle piece8 MZRO5」が表示されました。
真ん中の文字に「MZRO5」が当てはまるということが考えられます。
- 「looks like middle piece8 MZRO5」が表示されました。
- C2のCはシーザー暗号、2はシフトさせる数だと考えられます。アルファベットと数字のシフトが必要です。
[ officer20-28@arrs.host : ~ ] # file ARRS_NODE_14-4_13.09.2021.log
[ ERROR LOG ARRS_NODE_14-4_13.09.2021]
13.09.2021 13:13:13 UTC +3 ErrorCorruptedData: С2_zE7ty1KezEjpXQZryUPi
13.09.2021 13:13:13 UTC +3 ErrorCorruptedData: С2_zESeaEjjW0S4
13.09.2021 13:13:13 UTC +3 ErrorCorruptedData: С2_GC9ySi69
[ ERROR LOG END ]
[ officer20-28@arrs.host : ~ ] #
4-3-2.operation_report_05.08.2022.report
(1)dirコマンドで出力された2つ目のファイルの中身を確認してみましょう
file operation_report_05.08.2022.report
- 考察
- 暗号化されてる文章を除いて、正しい文章に直します。
修復後 Current situation can be described as Stable. We are on the schedule. Development team requests more of C07 and M-58 LEO. They informed us of some sort of progress. Sanitar insists to switch test assets to target assets, for 'more rapid progress'.
暗号化されてる文字 6uN3a6RCXI fEfBaS 9HqBpqYiLOeh3 O5rWBQTf 8qT LS 4WK xFB 2OB xFB8pFM3qk8KG8qTTCDv aDgIyN61 cGlXJIY gg1MDc0c Em0UmXVe 8RRglKd f9CRyLyioGvBU arb6g xpRj yN337ZXiw VCXd2olu
[ officer20-28@arrs.host : ~ ] # file operation_report_05.08.2022.report
file operation_report_05.08.2022.report
- file ->
Status report 05.08.2022
6uN3a6RCXI fEfBaS 9HqBpqYiLOeh3 O5rWBQTf
Current situation can be de8qTibed as Stable. We aLS on the 4WKdule.
DexFBopment team requests more of C07 and M-58 LEO.
They informed us of some sort of pro2OBss.
xFB8pFM3qk8KG8qTTCDv aDgIyN61
cGlXJIY gg1MDc0c Em0UmXVe
8RRglKd f9CRyLyioGvBU
Sanitar inarb6g to switch test assets to xpRjget assets, for “more rapid progress”.
yN337ZXiw VCXd2olu
- end of file ->
[ officer20-28@arrs.host : ~ ] #
4-3-3.operation_report_07.09.2022.report
file operation_report_07.09.2022.report
- 考察
- 暗号化されてる文章の一部をBase64でデコードします。
dGFpbC BvZiBiaWcgZm lzaDogUVhJWkxT
- 「tail of big fish: QXIZLS」が表示されました。
- big-fishが「3-3-4」と同じで、wardenに関するパスワードだということが考えられます。
- 暗号化されてる文章の一部をBase64でデコードします。
[ officer20-28@arrs.host : ~ ] # file operation_report_07.09.2022.report
file operation_report_07.09.2022.report
- file ->
Status report 07.09.2022
Curr dGFpbC BvZiBiaWcgZm lzaDogUVhJWkxT the onlN line.
pcHWFnK J9kCYLzcrLm53 bAZgPsa 9act7kUJ6uiz
A15fV6GW EQ4CG7y9dr 6PjIkXwrDGROT1AnaIrRUA
cyGQ5s1oWyq6 pNtxAiWCEZJXdw NWQEKa7JaUUyry
bZE580F7364 PLJNqlir0 W1az 47SB3Xe VCwS3MZZD
XCQwg7P2g FDM2TbLQJzvsg5zks5jc WcGtOjuTT0M
- end of file ->
[ officer20-28@arrs.host : ~ ]
4-3-4.operation_report_09.10.2022.report
- 考察
- 暗号化されてる文章を除いて、正しい文章に直します。
修復後 The main concern right now is the software issues. We've been experiencing issues for last month. Can't find the reason.
暗号化されてる文字 MuO rKjWtXyqowN7njb 8PFQlQ6h GAzfSU ZYolW ZMEVGkiFQK1LJe wHrPunbcWn xDSbekSE 1abqUddIN Dhutq6gATwo Am2evUlwjb MG3tc m0DEv BWC CMHBGQAi Ywl6nwafd V2xFYqp0C2 bn6SCEDEIG oTQCqn9OvaL57qAEuCyGHqSoaHuajnx RIN Wb x JEl D m9 HPT 29W 1o
[ officer20-28@arrs.host : ~ ] # file operation_report_09.10.2022.report
file operation_report_09.10.2022.report
- file ->
Status report 09.10.2022
MuO rKjWtXyqowN7njb 8PFQlQ6h GAzfSU
ZYolW ZMEVGkiFQK1LJe wHrPunbcWn xDSbekSE
1abqUddIN Dhutq6gATwo Am2evUlwjb MG3tc m0DEv
BWC CMHBGQAi Ywl6nwafd V2xFYqp0C2 bn6SCEDEIG
oTQCqn9OvaL57qAEuCyGHqSoaHuajnx
The mRIN concerWb xght now is thJEloftware issueD. We’m9 been HPTeriencing issues for last month. 29W’t find the r1oson.
- end of file ->
[ officer20-28@arrs.host : ~ ]
4-3-5.各ファイルから確認できること
- wardenのパスワードだと考えられる「3-3-4」で確認できた[O5SXI]、「4-3-1」で確認できた[MZRO5]、「4-3-3」で確認できた[QXIZLS]をくっつけて、O5SXIMZRO5QXIZLSにします。
user:warden pass:O5SXIMZRO5QXIZLS
5.ceasar
5-1.ログイン
(1)Guest状態で、以下のコマンドを入力しログインします。
user:ceasar pass:49s48s47s46s44
(2)プロンプトがGuestからceasarになればログイン成功です。
5-2.ユーザー情報
(1)以下のコマンドを入力して使えるコマンドをみてみましょう。
help
userinformationとusersのコマンドが増えていることが確認できます。
(2)ceasarのユーザー情報を見てみましょう。
user
- 考察
- Name、Description、Notesが削除されてることが確認できます。
- 「3-3-1」の結果から、ceasarとL.T.O.が同一人物だと確認できたので削除したのはL.T.O.だと考えられます。
- Name、Description、Notesが削除されてることが確認できます。
[ ceasar@arrs.host : ~ ] # user
##################################################
Login: ceasar
Access level: omniscient
Name: removed
Status: Active
############
Description:
removed
############
Notes:
removed
##################################################
[ ceasar@arrs.host : ~ ] #
5-2-1.他のユーザー情報
(1)以下のコマンドを入力してみましょう。
users
ceasarに割り振られてるAccess levelの「omniscient」は、他のユーザのユーザー情報を確認できる権限があるようです。
(2)まだ確認できていない「warden」、「admin」のユーザー情報を確認してみましょう。
5-2-1-1.warden
(1)以下のコマンドを入力してみましょう。
userinformation warden
- 考察
- NotesをBase64でデコードしてみます。
- NotesをBase64でデコードしてみます。
- Mr Kermenからのメッセージが確認できました。
「IR692-ZAFFR-XXX8L-MVE5U」は最初に見つけた人に対しての、タルコフのプロモーションコードではないかと考えています。
※おそらくです。Not bad. I respect persistence. IR692-ZAFFR-XXX8L-MVE5U Yours Mr Kermen.
[ ceasar@arrs.host : ~ ] # userinformation warden
##################################################
Login: warden
Access level: omniscient
Name:
Status: Active
############
Description:
3c9UThR53fT9bwfdh1yHxWPvjJIJqU4BGaSxG3jtCqYBI8cAR0DTsTQ3NiyN
HMrGREFasnkkBMannJjGbkwesrlRyU6KnlIpC6SIcwvKRXmuUSyyESqnU2Ix
WpfW8Ki9RqQfYETBSVKtJ9fXb0FjIZHYqFGAqOpH
FUFMwI1A9ddRSgS1XiJXb3371tOnuvLql6YV7r8N
############
Notes:
Tm90IGJhZC4gSSByZXNwZWN0IHBlcnNpc3RlbmNlLgpJUjY5Mi1aQUZGUi1YWFg4TC1NVkU1VQpZb3VycyBNciBLZXJtZW4u
##################################################
[ ceasar@arrs.host : ~ ] #
5-2-1-2.admin
(1)以下のコマンドを入力してみましょう。
userinformation admin
- 考察
- Access levelが「admin」ということ以外は確認できるものはないようです。
- ceasarよりも上位の権限の情報を見ようとしているので表示されないというのも考えられます。
- Access levelが「admin」ということ以外は確認できるものはないようです。
[ ceasar@arrs.host : ~ ] # userinformation admin
#################################################
Login: admin
Access level: admin
Name:
Status: Active
############
Description:
############
Notes:
##################################################
[ ceasar@arrs.host : ~ ] #
5-3.閲覧できるファイル
(1)以下の2つのコマンドを入力して閲覧できるファイルを見てみましょう。
notes dir
1個のファイルが表示されたことが確認できました。
[ ceasar@arrs.host : ~ ] # notes
B5GBD_15.10.2012
[ ceasar@arrs.host : ~ ] # dir
no files found
[ ceasar@arrs.host : ~ ] #
5-3-1.JH692_23.12.2021
(1)notesコマンドで出力された1つ目のファイルの中身を確認してみましょう。
note B5GBD_15.10.2012
- 考察
- Base64でデコードしてみます。
- Mr Kermenからのメッセージが確認できました。
「IS692-ZB154-TLM3I-9L15U」は最初に見つけた人に対しての、タルコフのプロモーションコードではないかと考えています。
※おそらくです。Kudos champ, you can dig those digits well Here is a little something for you IS692-ZB154-TLM3I-9L15U Yours Mr Kermen
- Mr Kermenからのメッセージが確認できました。
- Base64でデコードしてみます。
[ ceasar@arrs.host : ~ ] # note B5GBD_15.10.2012
######
S3Vkb3MgY2hhbXAsIHlvdSBjYW4gZGlnIHRob3NlIGRpZ2l0cy
B3ZWxsCkhlcmUgaXMgYSBsaXR0bGUgc29tZXRoaW5nIGZv
ciB5b3UKSVM2OTItWkIxNTQtVExNM0ktOUwxNVUKWW91cn
MgTXIgS2VybWVu
######
[ ceasar@arrs.host : ~ ] #
コメント
何か分かったら教えてください!
備考
この記事は、Fandom の Escape from Tarkov Wiki の「ARRS terminal」の要素が利用されており、これはクリエイティブ・コモンズ 表示 - 非営利 - 継承 のライセンス下で提供されています。
![[hatena]](https://cdn.wikiwiki.jp/to/w/common/image/face/hatena.gif?v=4)
![[tip]](https://cdn.wikiwiki.jp/to/w/common/image/face/tip.gif?v=4)
