室友靠打游戏拿30万offer,秘密竟然是……

Track-SSG   ·   发表于 2018-10-24 11:19:34   ·   漏洞文章

又是一年秋招季,苦逼的小编还天天泡在图书馆里刷PAT,室友大佬却已经到处拿offer。上周某室友已经成功拿到杭州某企业年薪30W的offer,小编虚心向其讨教,某室友一脸兴奋地告诉小编,HR让面试者们体验了一款超赞的游戏,经过几小时奋斗,他的游戏完成度得到了HR的肯定,于是顺利拿到了offer。What?!玩游戏也能拿offer?室友在小编一脸不相信中道出了真相,原来室友体验的游戏并非传统的游戏,而是“功能性游戏”。

“功能游戏”的最终目的是为了解决现实社会跟行业问题,在游戏的娱乐性基础上增加了专业性以及行为取样,虽然目前的功能性游戏大多在游戏性与教育性方面都不上不下,但小编认为只要一款功能性游戏能激发大众对专业领域的兴趣,那么这款功能性游戏就成功了。

于是小编灵机一动,想为大家推荐一些网络安全相关的功能性游戏,接下来就为大家介绍2款小编精心挑选的游戏:《Cyher》、《Grey Hack》。

一、《Cypher》:一本密码学入门“教科书”

此处插入Cypher.mp4

小编作为一名工科直男,对逻辑至上的硬核游戏完全没有免疫力,一进游戏主界面就对其极简风格的背景赞叹不已,纯白的殿堂看起来太舒服了.

image001.png

睁开双眼,发现自己身处于一间密室,四周是白色的墙壁。玩过不少解谜游戏的小编马上就明白想要开启前面的大门,就得在面前的终端输入正确的指令。

image003.png

于是开始寻找线索,小编在身后的墙壁上发现了谜题:

image005.png

英语六级压线过的小编经过一番仔细阅读之后,对这“脑经急转弯”一样的谜题毫无头绪,机智的小编发现在这段文字最下面有一行小字,上面写着“你可以在控制台输入’HINT’获取提示”

,于是屁颠屁颠跑去终端旁,在控制台执行相应操作,成功获得提示:

image007.png

原来是要注意那些颜色加深的字母,小编是时候去换一副眼镜了…小编将颜色加深的字母按顺序连接在一起,得到答案“goldenkey”,于是小编在控制台中输入秘钥,成功打开了大门:

image009.png

于是小编来到下一个密室,这个密室的墙壁上包括了密码学介绍、密码学的发展史、密码学的基本方法:25

image011.pngimage013.png    image015.png

小编就像一名博物馆中的游客,稍作浏览后终于来到这座圣洁的殿堂的大厅内:

image017.png

小编绕了一圈大厅,博物馆一共有7个密室,一开始只有一个密室的大门是开着的,每扇门上都写着一个罗马数字,应该是把第一个密室的谜题完成后,下一个密室的大门才会开启,于是小编来到第一个密室:

image019.png

第一个密室中所有的谜题都围绕着“隐写术”展开。隐写术的思想是将秘密藏在一段看起来没有任何问题的信息中,并假设别人不会起疑,这是一种较弱的加密方式,因为一旦有人对信息开始怀疑,他们不需要使用任何复杂的公式、工具,只需要逐字逐句分析就会被破解,你还记得之前的“goldenkey”吗,其加密思想正是“隐写术”。第一个密室中共有8个小谜题,于是小编默默拿出压箱底的草稿纸,大脑开始高速运转…

image021.png

《Cypher》就像一本密码学入门教科书,从古老的隐写术、换位密码、替换密码,到20世纪的机器密码(例如介绍了恩尼格码密码机的工作原理),到现代数字密码学,可谓是一应俱全。游戏包括了6个主题密室和1个额外挑战密室,每个密室门口都有一块巨大的墙体,墙体正面上概述了该密室主题的发展史及加解密原理,墙体反面则提到了解题会用到的额外的知识。玩家在游戏过程中需要善用百度、谷歌,随着游戏深入,玩家会对密码知识产生浓厚的兴趣,对密码学的发展史、各种加解密原理的了解也会随之深入。《Cypher》是一款功能性游戏佳作,Steam上售价22元。

二、《Grey Hack》:真实黑客模拟器

此处插入Grey Hack.mp4

进入游戏后是一个BIOS界面,小编毫不犹豫地选择了“多人游戏”模式:

image023.png

正式进入游戏之前会有警告提示,要求玩家在游戏中的账号密码不要与现实中的重复,大概是在此游戏中其他玩家可以黑入你的系统,得到你设置的账号密码,这让小编觉得这游戏很逼真。

image025.pngimage027.png

在一段逼真的开机动画之后,小编进入了OS登录界面,与新装的UNIX一样,我们需要设置自己的账号密码:

image029.png

小编设置了一个较为复杂的密码后进入了OS桌面,这时系统会询问玩家是否第一次接触UNIX,如果选“是”的话会有教程提示,虽然小编接触过UNIX,但还是老老实实地选择了“是”。

image031.png

教程一开始会介绍Linux的文件系统及常用的命令,例如pwd、cd、ls、rm、mkdir等等,在这之后正式进入游戏,我们需要解决的第一个问题是网络问题,目前我们没有连接到互联网上。

image033.png

image035.png

很容易发现这台电脑是装有无线网卡的,点击wifi图标,发现周围有不少wifi网络,我们要做的就是破解其中一个wifi网络的密码,然后连上互联网:

image037.png

根据系统提示,破解一个wifi网络的密码会用到这些工具,并且建议玩家在连上网络之后的第一件事是创建一个email账户,然后登录邮件服务:

image038.png

值得一提的是,上述的四个工具(airmon、iwlist、aireplay、aircrack)正是现实中用于破解WEP、WPA(现在的wifi基本都是用WPA2加密的,WEP、WPA是早期的wifi加密方式)的工具套装——aircrack-ng。如果你是一名新手,你需要先查看每个命令的用法,在一番尝试后才可破解成功。

小编一番折腾后成功连上了wifi:

image040.png

接下来我们需要创建一个邮箱账号,根据提示,我们打开浏览器,搜索“mail” :

image042.png

随便选择一个网址注册邮箱账号密码:

image044.png

注册成功后,登录邮箱,收到一封邮件:

image046.png

邮件的内容大概是系统告诉你某人的名字和他的邮箱以及他的ip地址,我们需要得到这个人的登录密码,然后把密码发送给系统邮箱,为了达到此目的我们需要在网上的商店挑选合适的工具。小编注意到这封邮件里有一个附件和其他主题内容,我们先来看一下其他的主题内容:

image048.png

感觉像一个标准的钓鱼模板,我们再来看一下附件里是什么东西,小编将附件下载到了用户文件夹下:

image050.png

然后打开这个文件,发现这是用来解密文件的:

image052.png

邮件里面提到我们需要通过破解用户的配置文件来得到用户的登录密码,于是机智的小编开始寻找存储自己登陆密码的配置文件,发现配置文件在/etc路劲下:

image054.png

小编打开了passwd文件,里面存储着小编电脑加密后的登录密码:

image056.png

小编打算使用刚才附件中的破解工具,看看能不能得到正确的密码(在尝试过程中,小编将Decipher文件移动至/bin文件夹下,使得Decipher命令能在全局使用):

image058.png

经过一定时间等待后,小编成功得到了自己系统的登录密码。

测试完成之后,小编根据邮件提示,在浏览器中搜索“shop”,发现商店内有大量的硬件与软件,包括许多网络安全相关的常用工具:

image060.png

小编发现很多硬件是需要金钱购买的,于是小编猜测每位玩家在银行中都有个人账户,于是在浏览器中输入“bank”,并创建自己的银行账户,系统给予的初始资金是$325:

image062.png

小编在探索过程中还发现了其他有意思的应用,比如聊天室,虽然当时只有小编一个人在线:

image064.png

还有黑科技“地图”功能,可以根据ip进行定位,小编输入了之前那份邮件里的ip地址:

image066.png

于是小编开始执行邮件中的任务,正式踏入黑客的世界……

《Grey Hack》是目前最真实的黑客模拟器游戏,玩家在使用aircrack-ng套件破解wifi,注册邮箱、银行后,购买代理服务器来隐藏自己的IP,从而让别人无法查找准确定位自己,随后使用工具入侵别人的服务器,这些工具包括nmap、ssh、shellweb、decipher、exploit,你可以将别人银行账户中的金钱转移到自己的银行账户中,最后更换自己的ip地址使得别人难以追踪,也可以直接修改对方的登录密码,或者利用别人的系统去做坏事…尽管玩家扮演的只是一个会利用工具的“脚本小子”,并且目前的工具很有限,游戏模式也非常简单,但是游戏中的大多数元素都是真实的,玩家可以了解一名攻击者的攻击流程,许多网络知识以及最基本的Linux命令,并且这种沉浸式体验能极大地激发玩家对网络安全的兴趣。小编觉得能把黑客模拟器做得这么逼真的游戏团队,地球上也就仅此一家了吧。此游戏在Steam上售价37元。


*本文作者:网络安全通,转载来自FreeBuf.COM


打赏我,让我更有动力~

0 条回复   |  直到 2018-10-24 | 1183 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.