ソンブラARG　ルメリコハッキングまで

前回のソンブラARGは10-1参照
＝＞オーバーウォッチ講座：オーバウォッチの歴史、ストーリー その10－１ タロンの暗躍：ルメリコ崩壊前夜 - citrussinのチラシの裏

アップロード時に受けたメッセージ「バスティオンE-54」はプレイアブルキャラクターのバスティオンのこと。
指定された番号「v1.4.0.2.324」はオーバーウォッチのパッチ番号で、指定パッチが導入されるとドラドにてハッキングされる異変が起きた（上記ストーリーにて解説）

このイベント時、実際にゲームマップでバスティオンなどをハックされた端末近くに連れて行くと、音波を受信。
（現在はゲーム内時間が進み、ストーリーが更新されたので受信は無理っぽい）

• ドラドでのビープ音はyoutubeに上がってる

www.youtube.com

このビープ音をモールス信号と考えてデコードすると「SQOFJFBNITIZWGDXSDO」が得られる。
さらに、前回a moment crimeのソンブラのコメント「さて、あなたは私のパスワードを取得できたようね。」から、その直前に得られたメッセージ「SOMBr@1NF:rM@7iON1SP0vvErrSOMBr@」がパスワードとわかる。

パスをキーにVigenere暗号形式でデコードすると「ACCESSWWLUMERICOMX」が得られる。
つまり、www.lumerico.mx というHPにアクセスしろってことになるので、アクセスするとハッキングされたルメリコの公式サイトがでてくる。
（注：現在はhttps://www.lumerico.mxは削除されてるみたいです）

ルメリコHPでは、ニュースページ、Aboutページ、Loginページが参照できた。
また、robots.txtには「Allow: omnics」というジョークコメント。
どうやらオーバーウォッチのGooglebotはオムニックらしいΣ(ﾟ∀ﾟﾉ)ﾉ
この時点でomnics.txtには情報なし。

ルメリコのaboutの一番下にはお問い合わせ電話番号「（510）766-2726」があって、実際に電話してみるとスペイン語で数字を捲し立てる女性の声が聞ける
女性が話すナンバーは「5,2,4,1,3 (一端止めて） 23,4,14,8,6,18,17,23,21,18,15」。
２パート「 23,4,14,8,6,18,17,23,21,18,15」をアルファベット(1=a , 2= b・・・・・)で置き換えると「WDNHFRQWURO」となる
「WDNHFRQWURO」をROT暗号形式のROT-23で回転させると「TAKECONTROL」
コントロールを奪え！となる。

更にwww.lumerico.mx/TAKECONTROLを読みに行くと、ソンブラからのメッセージと頭蓋骨AAが表示される

ethldtíoíesnoemfetuylm.bnlsssqtann）hcnslararuCpdGeoopéqubdsroaan.arnasdmdor1vrsmerñerlsdacnnnoaexedsidcn.iarsgcyi、iqeqnd.pooitoaeaaransterLetéáedasodocMrnseeiuCsimnosetlójnueodacapsadcoanfasest.rnucaodacadmdoemoipíogPoipbehaSussai、yccandin.reueatenaoiorneoeetaoéyenimt¿rPehec、uurobudeílrysriteenasni、adngpjrálireecgrolsmhYnaonmonomepeldezmapcpunoaulrrruCstmeitltetlróesoapsdéyufcuascaa、rensbuinergnqedlmvlbpdtaz.enebuineuldoerecrGefqfirrasulrbeatHsilnbaúaeeaaooassraooa、ioedo：。？aLiuielPrursmoootlnielteeánlosulobeauaanopearrúiesltéyrosssisuaaeaenremsieaismdjmolrsspebiecdéyusittnvrcacp.taebrtLiunróporner

eúcrneuyraarsettsyrseen.aaPnrneuyraeastuCpnhl/wLloaloa.qartlsyuínreute.evgdpiuábdmPooucvdeccmoreurr.ounriorydbaSnalegeáezadienáutalaaioeemfcbgdinableoc¿éppoeocelsumuoaHearsosqadrrrftuLiorannnoneneriiatcnlomoqnaqdunrcno、enmerosaereisloabolii.e.dormerosepopdé、EO：？R＃5scoegaqoeaibs（edioraamtdírnlyoetjcgratmnrrobnrsstloeYqoeocicpnómlpernmaepogenmodqamubodnaeasuaenMoolloupeqvgrLtúr

tsosrdvoeaerroaeusdmaauamoMobsnaeanraunnt、roierbeoiemaodbmantursotñauoureeuoerreopc.etlr

SotnneerLimeaFsNJ

これを先に手に入れた１パート目のナンバー「5,2,4,1,3」をキーに列順序転置式暗号でデコードするとメッセージ。

I'm congratulating you for getting in here. I only wanted to know if you were ready or not. (Hey, it's really difficult to get good help lately... you should see some of the clowns I'm working with). For now, let's continue with the true challenge: taking down Lumerico Corp president Guillermo Portero. Why? Because he's a greedy and corrupt man, and an abominable thief. His plan of bringing in line the most powerful and biggest zigurat the 1st of november us nothing more than a deceit, an elaborate plan by his gang to become even more influential in the people of Mexico and get more money. And who's gonna pay for that? Common people, the ones that are always forgotten.

I've started upgrading my protocols so that they are used to take down the Lumerico Corp infraestructure and Los Muertos are also trying to go against the corruption. Meanwhile, search the Lumerico Corp site for info we can use against the bastard, or better, get his username and password so that hundreds "not so favorable" facts about the president start popping up.

I was able to get the username and pass of a Lumerico Corp employee, start here:

GFlores/g#fNwP5qJ

適当日本語訳

まずはここまでたどり着けたことを祝いましょう。おめでとう。
あなたがイケる（・・・）のかどうか知りたかったのよ。
（まったく、最近はほんとに使えるやつが少ないのよ・・・たぶんあなたも私を手伝ってるアノ役立たずどもに会うことになるでしょうね）
まぁいいわ、今は真の挑戦を続けましょう。
ルメリコ社のGuillermo Portero大統領を辞任させるの。
なぜかって？
あいつが貪欲で腐敗した、最悪の盗人だからよ。
あの最も協力で最も大きいziguratを11月１日に一斉可動させるっていうPorteroの計画、あれは搾取でしか無いわ。
あいつら悪党どもがもつメキシコの人々への影響力をより強めて、更に私服を肥やすために周到に練られた計画。

で、誰がそのつけを払うというの？
常に忘れられ、ないがしろにされている一般市民でしょ？

私はルメリコのインフラ停止のためにプロトコルのアップグレードをしている最中よ。
そしてロス・ムエルトスもこの腐敗に抵抗しようとしてる。
その間に、あなたはこのろくでなし共に対抗するための情報をルメリコのサイトから探ってほしいの。
Porteroのユーザー名とパスワードを取得できればなおよし。
取得できれば、あの大統領の何百もの「好ましくない」事実が次々と出てくるでしょうね。

ルメリコ社の従業員のユーザー名とパスは取得できた。ここから始めて：
GFlores / g＃fNwP5qJ

ソンブラからもらったパスを使ってログインすると、Gonzalo Floresのアカウントにアクセス。
膨大な量のメールのやりとりが読めるようになる。
ただ、あまりに多すぎるので全文は割愛。見たい人は海外有志がgoogledocまとめているのでそちらを参照ください。

• 有志がまとめたルメリコ社員たちのメール情報
  • LumériCo E-Mails

大量のメールの中からGonzaloにValeria Valderramaが送ってるメールがみつかり、

Hello, Gonzo:
Can you see the https://lumerico.mx/president-bypass traffic? Guillermo should be the only one accessing from his private home page, but he seems to be having a lot of traffic. Maybe we have to scale this to
Miss Jiménez, but I want to be sure that she is worthy of her time.

Valeria Valderrama

hello, Gonzo:

https://lumerico.mx/president-bypass　のトラフィック見れる？
ギルレモのプライベートホームページへアクセスできるのは彼以外にはいないはずなんだけど、大量のトラフィックが確認できるの。
おそらくジメニスさんに連絡取ったほうがいいと思うんだけど・・、彼女の時間を割くほどの案件なのかしら？

Valeria Valderrama

(ちなみにマリア・ジメニスはセキュリティーチーフ）

ポーテロの個人用HPと見られる「/president-bypass」へとアクセスすると、404アクセス拒否。
しかし、ソースコードからPresident Auth-Bypass Revision 1.02: /.git/と確認できる。
このことからgitを利用していることがわかるので、/.git/のサブページをgitプロトコルでデータダンプ。
ダンプしたソースコードを有志がgitHubに上げたのがこちら。

• class.authentication.php · GitHub

コードを読むと暗号化されたパスワードとユーザー名が判明。
ユーザー名：
GPortero
暗号パス：
MzY:MTI5:?AzY:OWM?:?EDO:ZGU?:jVTM:MTJm:2ITM:MTUw:?QjY:OWY?:?kTO:MTQx:?MzY

class.authentication.phpで実装されているコードから、デコード手順を解く。（解析の専門技術を持ったプロがARGプレイヤーで参加してて、その天才がちゃちゃっと解いたそうです）
暗号化されたパスワードをデコードして
パス：Xy@4+Bkuqd<53uJ
が得られる。
（ここまで複雑な謎解きを仕掛けても即解かれるんだから、ネットって怖いなぁ(´・ω・｀)）

ユーザ名とパスワードからポーテロのアカウントにログイン。
ログインした３０分後にソンブラから大統領宛にメール

I see you have been able to infiltrate into his mail.
Don't worry, he cannot see this email, I've hidden it from his sight if he connects from one of his known IP addresses.
I need a little bit of time to establish the next set of protocols. Stay alert early next week. I'll throw some dirty laundry in his emails that can "accidentally" leak to the public. We'll see how the media will react to that.

あいつのメールアカウントに侵入できたことは知ってるわ。
心配しないで、あいつはこのメールを見ることができないから。
私の知ってる大統領のIPアドレスからの接続では見れないようにしている。

次のプロトコルを確立するのには少々時間がかかりそうなの。
週明け早々あたりでチェックしてみて。
メールの中にあるいくつかの汚いネタが偶然（・・）公開されるようにしておく。
彼らがメディアにどう言い訳するのか見ものだわ。

ポーテロのメール内からは、あのヴィシュカーの手先であるサンジェイコーパルと手を組んだことや、出先不明の大金がモナコからドラド銀行へ送金されたことなどが記されている。

宣言通り次の週、つまり10月25日にゴンザロのアカウントへ新しいメールが追加(ARGと関係ないストーリー上のやり取り）。
ニュースサイトには、ソンブラ（ロスムエルトス）の告発文が掲載。

変革のときは来た！

ルメリコの王ギジェルモ・ポーテロは、彼の忠実なる奴隷を心から歓迎し、最高のイベントを執り行う。
これは彼の際限なき欲望とメキシコの人々への悪逆を祝うものだ。
我々は、ポーテロが自らの富のために我々の国の豊かさを奪ってきた毒蛇だと証明する情報を公表した。
彼は政府を腐敗させ、兄弟姉妹を乞食に変え、そして国のすべてを手に入れるまで止まろうとはしない。
しかし、我々は、ロス・ムエルトスは、彼の政治腐敗の象徴たるこの祝典を容認はしないだろう。
我々は、新しい征服者が真に国の未来を見据えた者であると実証しよう！
来る11月1日、我々はこの毒蛇を王位から引きずり下ろし、我々の故郷の再生を祝うであろう。

更にrobot.txtに指定されてたomnics.txtが更新される。

Allow: Tzolk'in
Allow: Imix ChikchanManik Imix ChikchanImixChikchanImix Manik Chikchan Imix Kimi Chikchan Chikchan Kimi ChikchanImixChikchanImix ChikchanKimi

Tzolk'in（ツォルキン）はマヤ文明の暦。
＝＞当該wiki
＝＞ツォルキン - Wikipedia

2行目はTzolk'inで描かれる動物たち。
Imixは１日目、Chikchan - 5、Manik - 7、Kimi - 6
これを二行目に置換して「1 57 1 5151 7 5 1 6 5 5 6 5151 56」
この数列をマヤ数字に直すとモールス信号になる。
＝＞マヤ数字については英語wikiにしか乗ってなかった・・・・
＝＞Maya numerals - Wikipedia

「 . -..- . -.-. ..- - . .- - - .- -.-. -.-　」
デコードすると
「EXECUTEATTACK」

これにより「/EXECUTEATTACK」を見に行けとわかる。該当ページにはメッセージ

The moment has come. These emails exposed the truth about Portero, initiated the revolt, and have convinced people of Mexico to support our cause. Now is the time to strike. Convert his precious inauguration on November 1 to a large movement against it. I need you to do one thing:
Get access to the email security chief and seek some form of help in the attack. You may see her contacting Portero soon. I've changed her password: d0r*NuLw9

適当日本語意訳

時は来た！
これらメールはポーテロについての真実を公開し、反乱を起こし、私達の目的をメキシコの人々に支援してもらうために説得するものよ。
今こそストライキの時間。
11月1日の彼の大切な就任式を、その大きな契機に変えましょう。

一つあなたにやってほしいことがあるの
セキュリティーチーフの電子メールにアクセスして、攻撃の助けをしてほしいの。
おそらくポーテロはすぐに彼女（セキュリティーチーフ：マリア・ジメニスのこと）に連絡を取るでしょうね。
彼女のアカウントのパスワードを変更したわ：d0r * NuLw9

もらったパス「MJimenez / d0r*NuLw9」でルメリコの管理パネルの画面へ。
ただしソンブラが事を起こすまでは端末が切られており、非アクティブのまま。
Xdayである11月1日にソンブラが事を起こすまで待機する。

11月１日。
端末が使えるようになったら、とりあえずhelpコマンドで何ができるか確認。

override Engineer safety mode override
help Provides help information about commands
version Displays system version information
about Displays information about the system
grep Search output by string

マリア・ジメニスへ送られてきているメールの中で、フローレス・ゴンザロが彼女へ送ったメール

Maria,

Due to the recent security breaches, I have left the admin terminal in safety mode – You should be the only person with access to it starting from now and during the power plant activation process.

• Gonzo

マリア、

最近セキュリティ侵害が起きているため、管理者端末をセーフティーモードにしておきました。
今からパワープラント（発電所）起動プロセス中の間は、管理者端末にアクセス出来るのはあなただけにしておかないと。

Gonzo

となってるので、ソンブラが求める「攻撃の助け」をするためには、とりあえずセーフティーモードを解除しないといけない事がわかる。

overrideコマンドが「Engineer safety mode override」なので、overrideコマンドを打って「セーフティーモード」を解除しようとするとコンソール上にセキュリティーの３つの質問が立ち上がる。

1. お気に入りの映画
2. お気に入りのクッキーフレーバー
3. 秘密の質問

ジメニスのemailアカウント内には「Corrupción de correo electrónico」（破損したメール）のハイライトタグが付いているものがあり、「/ter/」と書かれていた。
「about | grep 'ter'」（terという文字列を含むファイルを探し、情報を一覧する）でターミナル内を探して、下記出力が得られる。

Open source lightweight shell for any terminal.
Anything with a terminal
1.1.0 - expanded terminal support

太文字（ターミナルでは紫文字）だけ取ると、OpenAnything1.1.0という文字列が得られる。

マリア・ジメニスのメール内にある同僚とのメールから、

お気に入りの映画　＝　some like it bot
クッキーフレーバー　＝　nuevas sabor delicias（new taste delights：新しい味の意味）

about | grep 'ter' で得られた情報から

秘密の質問　＝　OpenAnything1.1.0

がわかるため、セキュリティー突破。
プレイヤーに管理者端末へのアクセス権が与えられ、新しいコマンドセット「ls, cat , exec」が有効になる。

ls Lists files by path
cat Read file by path
exec Execute a file

lsでpayloadとd_ilqh_nhb.htmlを取得

d_ilqh_nhbはROT23するとa_fine_key
cat mnt/d_ilqh_nhb.html
でkeyの中身を見る。

アスキーアートは【 vhnl tldv xyl vcxelo xv qhrtv. zkolg[nl] 】の巡回文字で描かれているのがわかる。
23を鍵にしたアフィン暗号でデコードする。
【 some keys are shaped as locks. index[me] 】
「いくつかの鍵は、解除されないままである。」
とのこと。

で、最初のARG「ゲームPV中に仕込まれた文字列」の謎解きの中で、唯一解法手段がなかったPVバイナリ。
サマーゲーム2016のPV中、7秒前後にトレーサーが走った軌跡に文字が書かれているというもの

• サマーゲームPV

www.youtube.com

• 件の画像

「U2FsdGVkX1+vupppZksvRf5pq5g5XjFRIipRkwB0K1Y96Qsv2Lm+31cmzaAILwytX/z66ZVWEQM/ccf1g+9m5Ubu1+sit+A9cenDxxqkIaxbm4cMeh2oKhqIHhdaBKOi6XX2XDWpa6+P5o9MQw==」

exec でpayloadを実行。
アクティベーションコードを求められるので、上記トレーサーの暗号をそのまま突っ込む。
そうすると、ターミナルにソンブラプロトコルが走り、ルメリコのジグラートを載せたペイロードのシステムを乗っ取る。

...Estableciendo conexión...
...Protocolo Sombra v2.2 iniciado...

...La planta nuclear de Dorado sobrecargada...
100

...Terminando conexión...

これにてミッションクリア。