http://ring0cup.ru
Квест стартует 25 сенября в 18-00, а регистрация уже открыта.

в 22:00 по моему времени надо быть у компа ^_^

Кто уже смотрел?
Что за задания?)

18-00 надеюсь по МСК?

18-00 надеюсь по МСК?
Скорее всего...

Какраз в это время рабочий день заканчивается :(

По моему времени успею за час добраться до дома))) в 19:00 запрусь в комнате, включу музыку, запасусь пивком, набухаюсь в треск и в путь)))) хорошо что работы в субботу нету)))

Кстати, судя по всему задания новые с новыми призами будут каждый месяц(старые задания удалять не будут)

дайте кто то пожалста ссылку на старые задания если есть, а то думаю идти гулять или подумать мож, а то если там интегралы загонят то пусть сами их решают ))

Рекрут, сегодня квест запускают первый раз. Это первые задания будут

Начало через 40 минут.

На старт, внимание....

// 4 минуты до начала, есть время покурить)

Поехали!

Тупой квест ( первое же задание и правильный ответ не подходит =\

Ввожу первый ответ, а у меня ошибка "Вы не получали задание и не могли его выполнить"

то же самое, может есть хитрость ?

заработало.

Заработал 19 балов, нечайно пробел поставил(

Ламо-фильтр

Задача решена: 2009-09-25 18:17:35
Цена флага: 20
Число ошибок: 0
Количество заработанных баллов: 20

Задача решена: 2009-09-25 18:43:35
Цена флага: 50
Число ошибок: 0
Количество заработанных баллов: 50

теперь остались брутабельные вопросы =\

Честно ну очень смешно, на их сайте так же присутствуют баги, а они ещё один сделали для взлома =))

про банк кто то прошел, интересно просто ??

:( 1 раз ошибся уже -1 очко

Писец, на втором аке уже джава алерт не выходит, там гавнозадание, и пишет неправильный флаг сцуко, запарило уже

про банк кто то прошел, интересно просто ??
я пробывал скармить дамп Intercepter и wireshark не че не получилось , неогарчает канечно я ЛАМО

Та не там бинарник дан же уже с инфой, вобщем надо узнать что за фин приложение тогда удасться посмотреть счет

Это не бинарник какой то проги, это дамп пакетов. Поидее. Если эти хацкеры не придумали еще какой "оригинальной" по их мнению херни

Задание с хэшем без соли это полный пиздец, "Тебе в руки попал MD5-хэш пароля от важного пользователя форума" если уж к нам в руки попал чей то хэш, то должна была попасть и соль =\\

BlackSun та неважно, если имена не зашифрованы счета я думаю они тоже не вдумались шифровать или вдумались?


Задание с хэшем без соли это полный пиздец, "Тебе в руки попал MD5-хэш пароля от важного пользователя форума" если уж к нам в руки попал чей то хэш, то должна была попасть и соль =\\
это у них первый квест наверно, вот и ламерный шо ппц, думают нам интересно неделю брутить их хеш

это у них первый квест наверно, вот и ламерный шо ппц, думают нам интересно неделю брутить их хеш
квест вроде не первый , нада просто дагадаться что они там задумали :)

ЗЫ Ponchik лучший

Короче ну его нахер, тупо брутить в 2х заданиях и хер знает что делать в 3м совсем не возбуждает.

Ламо-фильтр Advansed прошел. Выглядело страшно, но на деле все просто) Взял максимальный бал.

посмотрел. банк - записи имеют понятный вид. принципиальная разница вот в этих байтах:
0E56 5639 F5D1 4CE1 С0
0EBA 0512 14B0 D4E6 С0 - вот здесь что-то нам нужно
0E0C D7A3 7025 65CD 40
0E1E 85EB 5188 B7DF C0
0E00 0000 0060 47C3 C0

я с двух попыток не угадал, какие из байт и в каком порядке брать. а может их парами комбинировать надо. короче придумайте что-нть. а мне влом )

BlackSun так ты второе задание взял что ли?

посмотрел. банк - записи имеют понятный вид. принципиальная разница вот в этих байтах:

это понятное дело, другое дело, что из них счет, там если переводить цифры выходят нереальные числа.

нда.. что-то квест не подстегивает желание тратить на него время =/

нда.. что-то квест не подстегивает желание тратить на него время =/
хаха а какже мышь и клава от дефендер
ЗЫ плюнул на квест сматрю крепкий орешек квадрология

если мне нужны будут данные девайсы то я начальство напрягу на их покупку -квест с начальством поинтереснее будет =)

4 байта в нужном месте вообще жопа, неправильно работает то правильно фиг поймешь у меня или у них ошибка

4 байта в нужном месте вообще жопа, неправильно работает то правильно фиг поймешь у меня или у них ошибка
а может быть не 4, а 8 (double)? в банках ведь нужна большая точность...

ау, ты наверно про 5 задание

Прошел кто нибудь 2,3 и 5 задания?

ФСЕЕЕ, окончательно задолбался, пошел смотреть "рыбумеч", про банк еще подумать можно, а тот тупой брут пусть сами **** брутят, мудачеги.

ФСЕЕЕ, окончательно задолбался, пошел смотреть "рыбумеч", про банк еще подумать можно, а тот тупой брут пусть сами **** брутят, мудачеги.
+100 :D

прикольно, время по убивать :) вместо косынки, гораздо интереснее )))

У кого-нить получилось структуру дампа из банка понять?
уже все варианты перебрал побайтово и float и double и long, так ничего и не подошло..

fker, я хз, но Currency делфийский попробуй :P

ну что там с Банком во втором, узнал кто-то, а то уже ломка начинается...

Там что-то странное в банковском уровне. Узнать бы что за приложение, можно было бы проходить... мне название файла не нравится (log файла)... Чего то оно мне напоминает... Кстати, файлы эти для каждого пользователя разные...

он бинарный, расширение не имеет значеня... будь оно хоть ххх.avi

это и так понятно, я говорю по содержанию он у всех разный. То есть одинаковых файлов нет.

Соответственно и ответы должны быть у всех разные...

Соответственно и ответы должны быть у всех разные...

ответы полюбасу, разные я несколько аков сделал и смотрел что меняется но радости это не принесло, они могли выдумать как угодно его кодить, они могут его ксорить, орить, или and-ить по разрядам. Так просто типо взял и получил там врядли будет, по крайней мере мне так кажется

Зря они не сделали статистику, чтобы сколько уже пройдено уровней.

блин чем открывать бинарник этот :) ваще туплю, 1 и 4 прошел, самое простое, остальное хз как...

это и так понятно, я говорю по содержанию он у всех разный. То есть одинаковых файлов нет.

Файлов, кстати всего два, я думал больше. q4ec5cev326by.log и hn4gyb4vbi8.log...
Но лучше от этого не становится. Понял только, что байт в конце AOFчетыребайта и в других местах, означает кол-во символов в записи ..

Интересный квест, прошел 3\5, брутить комп не позволяет, а счет в банке - провалил.
PS: Скинте плз в пм пасс с солью.

ну 1 и 2 - я думаю (1 и 4), а третий какой? 5? Несовсем понятно, что там делать надо.

Брутить пробовал, говорит 10000 дней надо :D

вообщем хотел сделать следующее, заполнить файл значениями (64 байта) от 0 - f (1024 хеша получается), и использовать его как файл паролей, ну а потом отрезать соль и брутить уже пароль.

alert(Переменная_с_паролем). Как это применить на практике думай сам. Догадаться можно, даже не зная джаваскрипта. Такое решение подойдет и для 1 и для 4.

хых, походу на этот квест уже все забили, если кто пройдет банк напишите плиз решение, интересно блин до жути...

В новоиспечённой болталке по хешам появился вопрос по поводу этого хеша без соли...
Если соли там действительно нет, то вот самое оптимальное решение:
http://forum.antichat.ru/showpost.php?p=1569968&postcount=7

Уже вывесили результаты, 1 человек выполнил все задания. Теперь бы интересно посмотреть как они все решались.

сегодня (3 ноября) вроде бы стартует новый квест
правда сайт лежит, и во сколько незнаю

Ноябрьский квест доступен для прохождения.
Чем копать "троян" ? Пробовал через олли, по binary_string искал и ничего там не нашел.

Ноябрьский квест доступен для прохождения.
Чем копать "троян" ? Пробовал через олли, по binary_string искал и ничего там не нашел.
сначала unpack him ;)

сначала unpack him ;)
ничего кроме пост урла там нет

Спс предыдущим двум - справился.
ЗЫ: в ответ писать "http://www.", я написал просто www и уже одна ошибка.

Троян всетаки сработал - файлик C:\Users\svchost.exe и авторан почистил, может еще что-то пропустил/осталось?

Что по второму? Зачем там java-script файлы, которые ни к чему не привязаны?

Думаю над 2 заданием.

По второму кто понял как формировать запрос к get.php?

По второму кто понял как формировать запрос к get.php?В скрипте написано что берется с формы (с ид = "#form") какие-то параметры и ответ записывается в "div#RES". Мне кажется, что get.php считывает какие-то данные, возможно из лог файла.

А может что-то можно с login.php сделать? Я пробовал добавлять ?auth=true и ?authorization=true, может что-то в этом роде сработает?

Брутфорсить без логина не вижу смысла.

Да ничего особенного не дает обращение к get.php... выплевывает заголовок h3 и начало таблицы ... ппц голову слома уже над этим заданием ...

login.php, там мне кажется просто стоит редирект на индекс

По заданию "Куда уходят формы". не пойму что нужно ввести в инпут, все перепробовал а реакции не какой. из троя я вынул уже и хидеры и урл и файл, что аплоидится. все бестолку. в каком формате нужно вводить ответ?

По заданию "Куда уходят формы". не пойму что нужно ввести в инпут, все перепробовал а реакции не какой. из троя я вынул уже и хидеры и урл и файл, что аплоидится. все бестолку. в каком формате нужно вводить ответ?Там сайт глючит, перезагрузи страничку и введи адрес полностью с http://www

To nihil: спасибо, усё в порядке!

Попробовал разные способы на кавычку и ее маскирование, и ничего. Ну конечно если там защита аля "л-о-м" ( if($_POST['login'] == $mylogin && $_POST['passwd'] == $mypass) ), то надо искать другие пути. Ну дайте хоть какую-то зацепку.
Даже пробовал спец прогой Sipt4.0 -> http://forum.antichat.ru/threadnav24918-4-40.html
ЗЫ: Количество прошедших уже увеличилось.

Модер Nikitos:Ребят, войти в админку это только начальный этап :). Не думал, что он окажется таким сложным. Только 3 человека смогли это сделать, хотя там элементарная инъекция. Не надо ничего подбирать. В скриптах есть инъекция link (http://forum.xakep.ru/m_1584511/mpage_4/key_/tm.htm)

nihil, дай линк ,пожалуйста, на пост Nikitos'a )

http://forum.xakep.ru/fb.aspx?m=1621035

пройдено

Напишите как в админку зайти, всеравно уже все призеры определены.