HACKSET // RED TEAM
│
SYS ONLINE
OP «ЦИФРОВОЙ ДВОЙНИК»
STAGE 22 / 22
NET meridian-mall.local
▲ BLACKFRIDAY → -11D
СОВЕРШЕННО СЕКРЕТНО · CASE FILE 0xMRDN
ОПЕРАЦИЯ
«ЦИФРОВОЙ ДВОЙНИК»
Пентест-аудит инфраструктуры ТРЦ «Меридиан». 22 узла, 11 дней, одна цель — пройти весь маршрут BlackFriday раньше, чем они нажмут на детонатор.
BLACKFRIDAY
COUNTDOWN
11:00:00:00
22
ЗАДАНИЯ
04
ФАЗЫ
11
ДНЕЙ ДО X
$40K
УЖЕ УШЛО
BLACK
FRIDAY
every day.
CLASSIFIED
ЗАЯВКА
ЗАКАЗЧИКА
Входящее обращение
HACKSET RED TEAM
05:14:22 · 03.05.2026
Канал: encrypted (Signal)
От: Соколов А. В., директор по безопасности ТРЦ «Меридиан»
Тема: СРОЧНО. Нужна помощь.
Коллеги, пишу не по форме — некогда. За три недели у нас:
• — указатели у кинотеатра показали «WE ARE INSIDE»;
• — слили базу программы лояльности (357 000 записей);
• — с личного кабинета арендодателя ушли $40 000;
• — позавчера ночью сами разблокировались двери паркинга. Камеры — трое в капюшонах. До серверной дошли, но дальше не пустила биометрия.
Они называют себя BlackFriday. В их телеграме обратный отсчёт — 11 дней.
Подрядчики тычут друг в друга. Сисадмин в шоке. Нужно, чтобы вы прошли по всей нашей инфре и нашли каждую дыру. NDA, бюджет, доступы — что нужно, всё подпишу. Сроки — вчера.
— А. СОКОЛОВ
БРИФИНГ · АРХИТЕКТОР · ВЕДУЩИЙ АНАЛИТИК
RECORDING ░ 17:42 · 04.05.2026
00:00
Так, оператор, слушай. Я — Архитектор, веду эту операцию. У нас 22 точки в инфре «Меридиана», которые я считаю проблемными. По логам и косвенным следам BlackFriday прошли как минимум через половину. Наша задача — пройти по всем, задокументировать, отдать заказчику отчёт.
00:23
Работаем по цифровому двойнику — копии их сети, развёрнутой у нас на стенде. Реальный «Меридиан» не трогаем, там продакшн, кассы, биометрия. Если уронишь — кофе на полгода.
00:47
Каждое задание — один узел. Начнём с забора снаружи: смотрим, что выставлено в интернет. Дальше арендатор за арендатором, сервер за сервером. Конечная цель — личный кабинет арендодателя, тот самый, через который ушли деньги.
01:12
Флаги — в @hacksetbot. Я на связи. Поехали.
▣ РОАДМАП ОПЕРАЦИИ
ФАЗА I
РАЗВЕДКА
ПЕРИМЕТРА
Сканирование портов, поиск версий, эксплуатация CVE веб-сервера арендатора.
▸ ЗАДАНИЯ 01–02
ФАЗА II
ПРОНИКНОВЕНИЕ
ЧЕРЕЗ ВЕБ
Reverse-, bind-, web-шеллы. Перебор SSH. Четыре способа закрепиться внутри.
▸ ЗАДАНИЯ 03–06
ФАЗА III
ЭСКАЛАЦИЯ
ПРИВИЛЕГИЙ
Восемь типовых ошибок Linux: GTFOBins, cron, .so, NFS, LD_PRELOAD.
▸ ЗАДАНИЯ 07–14
ФАЗА IV
ПРОДВИЖЕНИЕ
И ВЕБ-АТАКИ
Pivoting через SSH, fuzzing, XSS, SQLi, SSRF, финальный bruteforce ЛК.
▸ ЗАДАНИЯ 15–22
ЭПИЛОГ · ВНУТРЕННИЙ КАНАЛ RED TEAM
[Архитектор] Операция «Цифровой двойник» — закрыта.
[Архитектор] 22 уязвимости. Все воспроизведены.
[Архитектор] Все задокументированы.
[Архитектор] Отчёт ушёл Соколову час назад.
[Архитектор] Их IT начали закрывать дыры прямо ночью:
— обновили Nostromo до nginx;
— переписали cron'ы с полными путями;
— выкинули LD_PRELOAD из env_keep;
— заткнули no_root_squash;
— rate-limit и капча на ЛК.
[Архитектор] В канале BlackFriday запостили:
«цель оказалась скучнее, чем мы думали»
[Архитектор] Перевод: им стало нечего ломать.
[Архитектор] Оператор — ты прошёл все 22.
[Архитектор] Свободен.
[Архитектор] Кофе с тебя.
🖤 HACKSET RED TEAM — EVERY DAY.
HACKSET // RED TEAM
CTF · OPERATION «DIGITAL TWIN» · MERIDIAN MALL CASE
Submit flags ▸ @hacksetbot
$ ./operation_meridian.sh --status=running