Antichat Hack-Quest 2006

Решил сюда перенести посты со старого блога про Hack-Quest. :)

31 октября 2006

Сижу, никого не трогаю… А тут Chase пишет на счет MD5 и BMP-картинки… думаю, к чему бы это и о чем это. Вобщем, дал он мне ссылку:

quest.antichat.net/hidden_password.php

Найдите правильный пароль, используя картинку-подсказку!

Подсказка к этому уровню:

Quest: Найти пароль при помощи картинки-подсказки.

Action: Здесь понадобится любой HexEdit, декриптор и взломщик архивов.

ONTOP: здесь и здесь.

Warez: HexEdit, De-cryptor, Advanced Archive Password Recovery.

Было забавно пошевелить мозгой.

Кто справится?

3 ноября 2006

Что-то я застрял на таком уровне:

Пройти авторизацию под логином “admin”. Обойти авторизацию, используя SQL_Injection (уязвимость: поле авторизации). В данном случае используется связка MySQL+PHP!

Ссылки по теме:

inattack.ru/article/163.html

inattack.ru/article/276.html

inattack.ru/article/290.html

Ну ни в какую………….. Кто-нибудь разбирается в этой теме? Пробовал стандартные методы типа password = “a’ OR 1=1–” - не годятся…

12 ноября 2006

Фух. Справился с этим хак-квестом. :) Все 20 уровней пройдены.

Итоги:

1)Не смог обойтись без небольшой подсказки на 8 уровне, где Injection для MySQL надо было забацать. Но там небольшая некорректность - уязвимость воображаемая - надо просто определенную точную комбинацию ввести. Аналогичные комбинации, которые сработали бы в реальности тут не проходили. Потому бился я с этим неск. дней. Думал, думал. Все бестолку. :) Пришлось полядеть подсказку на форуме.

2) Снова запнулся на уровне с SQL Injection :) Там уже надо было справиться с MicrosoftSQL, используя шаблон. С этим уже справился, но только на след. день, после того как заметил кое-что, что обязательно надо было заметить, иначе толку нет :)

P.S. Последний (20-й) уровень - на сообразительность. Вот это ж сочинили головоломку, ужас. Удивляюсь, что не застрял на последнем уровне. :)