Тема поста:    Hack quest

Решил сюда перенести посты со старого блога про Hack-Quest.

 31 октября 2006

Сижу, никого не трогаю… А тут Chase пишет на счет MD5 и BMP-картинки… думаю, к чему бы это и о чем это. Вобщем, дал он мне ссылку:

http://quest.antichat.net/hidden_password.php

Найдите правильный пароль, используя картинку-подсказку!

Подсказка к этому уровню:

Quest: Найти пароль при помощи картинки-подсказки.
Action: Здесь понадобится любой HexEdit, декриптор и взломщик архивов.
ONTOP: здесь и здесь.
Warez: HexEdit, De-cryptor, Advanced Archive Password Recovery.

Было забавно пошевелить мозгой.

Кто справится?

3 ноября 2006

Что-то я застрял на таком уровне:

Пройти авторизацию под логином “admin”.
Обойти авторизацию, используя SQL_Injection (уязвимость: поле авторизации).
В данном случае используется связка MySQL+PHP!

Ссылки по теме:
http://inattack.ru/article/163.html
http://inattack.ru/article/276.html
http://inattack.ru/article/290.html

Ну ни в какую………….. Кто-нибудь разбирается в этой теме?
Пробовал стандартные методы типа password = “a’ OR 1=1–” - не годятся…

 12 ноября 2006

Фух.  Справился с этим хак-квестом. Все 20 уровней пройдены.

Итоги:

1)
Не смог обойтись без небольшой подсказки на 8 уровне, где Injection для MySQL надо было забацать. Но там небольшая некорректность - уязвимость воображаемая - надо просто определенную точную комбинацию ввести. Аналогичные комбинации, которые сработали бы в реальности тут не проходили. Потому бился я с этим неск. дней. Думал, думал. Все бестолку.  Пришлось полядеть подсказку на форуме.
2) Снова запнулся на уровне с SQL Injection  Там уже надо было справиться с MicrosoftSQL, используя шаблон. С этим уже справился, но только на след. день, после того как заметил кое-что, что обязательно надо было заметить, иначе толку нет

P.S. Последний (20-й) уровень - на сообразительность. Вот это ж сочинили головоломку, ужас. Удивляюсь, что не застрял на последнем уровне.