توی این هم اگر می‌گشتید (توی توییتر و اینستاگرام و فیسبوک) خیلی چیزی دستگیرتون نمی‌شد و قسمت مهمش همون آدرس جیمیل هست. حالا اینکه چجوری این آدرس جیمیل به کار میاد و ما رو به فلگ می‌رسونه رو خدمتتون در پیام بعدی عرض می‌کنم.

حقیقیتش اینه که یک ابزار استاک خیلی قوی‌ای وجود داره به اسم ghunt.
این هم لینک گیت‌هاب این ابزاره:
https://github.com/mxrch/GHunt

این ابزار چیه؟ به طور خلاصه، اینا اومدن کل گوگل رو crawl کردن و تک‌تک آدرس جیمیل‌ها که یک جایی (هر جای پرتی لیترالی) اگر ازش چیزی بود، اینا crawl کردن. شما می‌تونید از این ابزار استفاده کنید و آدرس جیمیل مورد نظرتون رو هم بدید و این ابزار هم تک‌تک رخدادهایی که از اون آدرس جیمیل تا حالا وجود داشته رو بهتون میده

خلاصه که در نهایت ادرس جیمیل طرف رو می‌دادید به این ابزار، و همه‌ی اطلاعاتشو لیک می‌کرد و می‌تونستید اسم و فامیل طرف رو در بیارید و به فلگ سوال برسید.

دلیلی هم که گفتم اینو، این فیلمه رو خودم خیلی دوست دارم و امشب باز توی اینستا دیدمش و گفتم بگم که اصلا اولین بار از این سوال CTF عه اومد بیرون😂

این CTFعه مال مصر بود. این اقا هم مصری هست و واقعا کارش همینه که بره اینجوری تبلیغ و اینا کنه.

تا حل سوالی دیگر بدرود.

نمی‌دونم چه جوری همچین چیزی ممکنه ولی رزبری KVM ساپورت میکنه. و QEMU می‌تونه روش VM بالا بیاره. من الان یه کرنل لینوکس روش اوردم بالا.
نمی‌دونم چرا اصلا باید همچین دستگاهی VMX (یا هر چی اسمش توی ARM هست) داشته باشه😂😂😂

And now that we know this, we are going to do the funniest thing ever...

من پوزیشن کاریم توی شرکت رو خیلی دوست دارم. یکی از دلیلایی که خیلی دوستش دارم؛ شبیه بودنش به CTF هست.

جنرالی کارم ساپورت تکنیکال هست. در وهله‌ی اول وقتی بهش فکر می‌کردم خیلی برام جالب نبود ولی هرچی جلوتر می‌رفتم خیلی شبیه CTF می‌شد برام.

عموما چیزایی که میاد سمتم، هیچ ایده‌ای برای حلش ندارم. یک باگی که حتی خود کسی که کد زده هم نتونسته برطرفش کنه و حالا من باید بگردم و کدش و زیرساختش و سیستمش و نتورکش رو دیباگ کنم تا ببینم دلیل باگش چیه.

هیچ ایده‌ای ندارم باگه چیه، چرا داره اتفاق میوفته. هیچ ایده‌ای نسبت به پلتفرم و یا استکی که دارن برای کدشون استفاده می‌کنن ندارم و کلا چند ساعت وقت دارم تا با همه چی آشنا شم و دیباگ کنم و اینجا وقتی به پرچم میرسم که بتونم باگ رو پیدا کنم و فیکسش کنم.

خیلی قشنگه. خیلی سخته در اصل و واقعا خیلی می‌ترسم که یه جا توش کم بیارم ولی خیلی قشنگه. لیترالی هیچ کمکی نداری و باید دنبال یک root cause توی گرافی بگردی که خودت صرفا توی یه node از اون گرافی. هیچ ایده‌ای نداری گراف چه شکلیه و چجوریه.

چند روز پیش یک باگی از یکی از مشتریامون اومد سمتم. تقریبا ۲ روز مداوم و حدود ۱۱ ساعت وقت برد تا مشکلشو پیدا کنم.

خلاصه‌ی ماجرا:
این مشتری‌مون می‌خواست کلا استورج MinIOشو از public url برداره. برای این کار میخواست از nginx‌ای که توی namespace مشابه با همون پاد MinIOش بود، به آدرس داخلی MinIO Console بیاد nginx رو route کنه. اینجوری public url کنسول MinIO رو هم برمی‌داشت و می‌تونست از طریق nginx بیاد و route بشه به MinIO.

در همین حال می‌خواست یک basic auth هم سر این route از nginxش بذاره که علاوه بر authentication خود MinIO یک basic auth هم باشه.

کاری که کرده بود این بود که یک basic auth توی اون route از nginxش ثبت کرده بود. وقتی که وارد اون url می‌شدیم اول یوزر پس basic auth رو می‌زدیم و حالا وارد صفحه‌ی لاگ‌این MinIO Console می‌شدیم. بعدش که یوزر و پس MinIO هم می‌زدیم، authorised نمی‌شدیم و وارد نمیشد و رول بک می‌کرد باز به اول صفحه و دومرتبه basic auth رو می‌خواست.

خلاصه پیدا کردن باگ این قضیه با هزاران سرچ و تست‌های متفاوت چیزی حدود ۱۱ ساعت وقت از من برد.

در نهایت باگ این بود که باید توی همون کانفیگ nginx می‌زدیم که هدر Aurhorised رو خالی ست کنه. چرا؟ چون به صورت عادی باید به آدرس داخلی پاد MinIO Console ریکوئست http بزنیم و چون MinIO Console متود Authenticate خودشو داشت، وقتی ریکوئست رو میگرفت انتظار داشت که این هدر خالی باشه. ولی درصورتی‌که چون این مشتری می‌خواست حتما basic auth هم داسته باشه، وقتی که ما basic auth رو وارد می‌شدیم، این هدر یک پارامتر می‌گرفت و دیگه خالی نبود و وقتی می‌رسید دست MinIO Console، ریجکت می‌شد و باعث می‌شد که کنسول ما رو authorised نکنه و رول بک کنه به اول صفحه‌.

غلط کردم.

چقدر باحال! بنظر که دنیا داره به این سمت میره.
https://nostr.com/

شرکت OpenAI داره با تک تک شرکت‌ها قرارداد میبنده و مخشون رو میزنه تا از اطلاعاتشون استفاده کنه.

اول که Stack Over Flow و حالا هم که Reddit.

دلیلش چیه؟ چون که از وقتی ChatGPT اومده، دیگه خیلی کم ملت سراغ این سایتا میرن و این سایتا وقتی دیدن که دارن کم میارن، رفتن با OpenAI قرارداد بستن که بیاد سایت‌هاشون رو Crawl کنه و از دیتاشون استفاده کنه.

https://openai.com/index/openai-and-reddit-partnership/

https://stackoverflow.co/company/press/archive/openai-partnership

سوال خیلی قشنگی بود، فردا حلشو بهتون می‌گم. (آسونم هست اگر خواستید حلش کنید حتما.)

اینم خیلی جالب بود، مسابقه که تموم شد حلشو می‌گم بهتون.

این رو نمی‌دونم نگاهش کردید یا نه. این یک اسنپ‌شات از دیسکه. فرض کنید مثلا از دیسک‌تون یه لحظه یه اسنپ‌شات می‌گیرید. اگر mountش می‌کردید و توی فایل‌هاش می‌گشتید، یک فایل موزیک پیدا می‌کردید که این فایله یه کد مورس بود و باید می‌دادید به یه decoderی. دیکدش می‌شد فلگ.

این هم فایلش بود

این ولی خیلی جالب‌تر بود