Antichat's Quest: Authorization & Knowledge FAQ

Discussion in 'Antichat's Quest' started by back0rifice, 24 May 2006.

Thread Status:
Not open for further replies.
  1. back0rifice

    back0rifice Active Member

    Joined:
    16 Mar 2006
    Messages:
    327
    Likes Received:
    106
    Reputations:
    19
    There Is Not Knowledge That Is No Power

    Для чего пишутся manual'ы? Правильно, для помощи. Вот, и данный manual был написан для того, чтоб помочь людям, проходящим Antichat's Quest, разобраться во многих аспектах нелёгкого ремесла тех, кто, в силу своей деятельности, так или иначе, подпадает под содержание статей №272, №273 и №274 УК РФ, а так же для того, чтоб не флудить на форуме одними и теми же вопросами (то есть, для ленивых). Но, запомните: это – manual, а не solution! Описание прохождения и подробное "обсасывание" каждого задания здесь не предусмотрено конструкцией! Цель: заставить (именно – заставить) вас научиться правильно (хотя, и несколько абстрактно) мыслить, научить находить различные (в том числе – нестандартные) подходы к решению той либо иной задачи.

    Кто предложил (идея): Potassum.
    Кто допустил (согласование): Rebz (AQ kr3@70r).
    Кто наваял (создание): back0rifice.

    Ground Zero

    Перед тем, как читать данный manual, настоятельно рекомендую запомнить три простых прописных истины ("Заповеди"), а именно:

    1. Всегда смотрите "Page Source" (исходный код страницы);
    2. Имейте терпение и будьте предельно внимательны;
    3. Активно используйте поисковые системы и справочную литературу.

    На первый взгляд manual может показаться неинформативным, скудным, а кому-то – даже тупым, но, поверьте: больше, чем здесь написано, для прохождения вам знать и не надо (см. "Заповедь №3").


    -0-​
    • Quest: Ввести пароль авторизации.
    • Action: Для прохождения, необходимо вспомнить "Заповедь №1".
    • ONTOP: —
    • Warez: —
    -1-​
    • Quest: Ввести данные для перехода на следующий уровень.
    • Action: Мозги, "Заповедь №1", кнопка "Начать >>".
    • ONTOP: —
    • Warez: —
    -2-​
    • Quest: Переход на следующий уровень.
    • Action: Только логика.
    • ONTOP: —
    • Warez: —
    -3-​
    • Quest: Ввести login/password для перехода на следующий уровень.
    • Action: Принцип геймера: "Главное – вовремя сохраниться". Внимательность.
    • ONTOP: —
    • Warez: —
    -4-​
    • Quest: Ввести пароль на следующий уровень (телефон с XSS).
    • Action: Вспоминаем "Заповедь №1", видим запись: "method=GET (важно понимать, что при запросе методом GET данные формы передаются серверу вместе с URL; WEB-серверы, поддерживающие CGI, копируют эти данные в переменную окружения)", ищем марку телефона с эквивалентами буквам "…XSS…", изучаем URL, вписываем ответ, используем программу "InetCrack" либо "AccessDiver", изменяем "Referer", смотрим результат.
    • ONTOP: здесь и здесь.
    • Warez: InetCrack, Access Diver.
    -5-​
    -6-​
    • Quest: Не задерживаться на этом уровне.
    • Action: Смотрите URL. В нём – ответ.
    • ONTOP: здесь и здесь.
    • Warez: MD5 Inside.
    -7-​
    • Quest: Для прохождения, необходимо зайти с IP: 10.10.10.10.
    • Action: Использовать Spoofing (изменить функцию "X-Forwarded-For" на требуемую).
    • ONTOP: здесь, здесь и здесь.
    • Warez: Access Diver.
    -8-​
    • Quest: Пройти авторизацию под логином "admin".
    • Action: Обойти авторизацию, используя "SQL Injection" (уязвимость: поле авторизации).
    • ONTOP: здесь, здесь и здесь.
    • Warez: —
    • Alert(!): В данном случае используется связка MySQL+PHP!
    -9-​
    • Quest: Ввести пароль.
    • Action: Мозги и знание основ JavaScript.
    • ONTOP: —
    • Warez: —
    -10-​
    • Quest: Ввести пароль.
    • Action: Мозги, внимательность, знание основ JavaScript.
    • ONTOP: —
    • Warez: —
    -11-​
    • Quest: Найти login/password на FPT-сервере.
    • Action: Знать места и принцип "складирования" *nix-системами учётных записей, понадобится программа "John The Ripper".
    • ONTOP: здесь.
    • Warez: John The Ripper (открывать с помощью "WinRAR").
    • Alert(!): При использовании данной программы необходимо отключить все антивирусы/антитрояны/брандмауэры!
    -12-​
    • Quest: Запустить шелл.
    • Action: Знание основ PHP (include() – команда для WEB-сервера, указывающая вставить содержимое файла в HTML-страницу).
    • ONTOP: здесь и здесь.
    • Warez: —
    -13-​
    • Quest: Ввести пароль.
    • Action: Мозги, внимательность, знание основ JavaScript (substring() – возвращает часть значения строкового объекта, определённого двумя индексами, указанными в скобках).
    • ONTOP: здесь.
    • Warez:—
    -14-​
    • Quest: Пройти авторизацию.
    • Action: Внимательность и URL-декодер.
    • ONTOP: —
    • Warez: URL-decoder.
    -15-​
    • Quest: Ввести пароль.
    • Action: Знание основ JavaScript и ваша сообразительность.
    • ONTOP: —
    • Warez: —
    -16-​
    • Quest: Ответить на 7 вопросов по *nix-системам.
    • Action: Базовые знания *nix-систем.
    • ONTOP: —
    • Warez: —
    • Alert(!): В ответе на "Вопрос №2" знак "-" перед указанием прав доступа не писать; все ответы (после второго вопроса) писать в нижнем регистре!
    -17-​
    • Quest: Перейти на следующий уровень.
    • Action: Найти файл, отвечающий за индексацию страницы.
    • ONTOP: здесь.
    • Warez: —
    -18-​
    • Quest: Перейти на следующий уровень.
    • Action: Работа с файлами "cookies".
    • ONTOP: —
    • Warez: Cookie Editor.
    -19-​
    • Quest: Узнать login/password.
    • Action: Получить данные при помощи "SQL Injection" (использовать шаблон).
    • ONTOP: здесь.
    • Warez: —
    • Alert(!): В данном случае используется MicrosoftSQL!
    -20-​
    • Quest: Добавить "Language" и авторизоваться.
    • Action: Только сообразительность и внимательность.
    • ONTOP: —
    • Warez: —
    Out Of Space

    Вот, в общем-то, всё. Буду рад, если кому-то наш manual в чём-то помог. Если имеются какие-то пожелания/предложения либо жалобы/проклятия – пишите в ПМ, рассмотрим, учтём. Принимается только конструктивная критика!
     
    #1 back0rifice, 24 May 2006
    Last edited: 7 Jul 2008
    9 people like this.
Thread Status:
Not open for further replies.