Победители:

1.mscript

http://picto.freehosting.com/cup/gramota/grm.jpg

проходите на здоровья Квест

Ники спонсоров ..

Подсказки по уровням:

1.регистрацию.

2.обратное действие.

3.используйте шаг.

4.не попадайтесь на маневр! просто передайте параметр, он выделен самом объекте.

5.подобрать пасс к файлу.

6.получить цифры и пароль.

7.использовать цифры по назначению.

8.печенье и параметр.

9.программа.

10.финал.

Видео подсказки Тут

ТС, давай подсказку на 1)

Хм, ajax запрос возвращает xml страницы, а не json... Так и должно быть? Я хотябы туда копаю?

где ты ajax увидел? На первом левеле обычная форма.

http://www.picto.freehosting.com/js/mylib.js

Врядли этот файл просто так, да и в "задании" говорится про регистрацию...

как я понимаю содержимое этого файла для реги участника, а не первого левела

Н а первом все просто просто надо зарегистрироваться

подсказка

Главная подсказка народ все уровни находятся на др хостах ..

Сам Двиг

Пользователей 1 на 4 лв

Ух, я впереди!

Можно подсказку на 4-й уровень?

Всё исправил, но не знаю какие параметры передовать в полях.

в 4 лвл ничего не надо исправлять, просто надо перейти по ссылке с правильными параметрами...

а вот ссылка с 5-го лвл выдаёт 403-ю ошибку

И всё-равно мне нужна подсказка на 4-й уровень.

на 5 лв линк работает сам проверял...

что такое "d{2},d{6)X2"? какая-то маска для брута?

это поля 2 цыфры,6 цыфр . по 2 раза

Спасибо, теперь вообще ничего не понятно. Придется ждать пока еще пару человек на 6м застрянет и будут подсказки

Из бд надо их вытащить важные столбцы по d{2},d{6)X2 и пароль

Первый раз такое вижу. Что с этим делать?

word = ['a','j',':','o','s','b','s','o','c','h','n','zx',' v','.','d','d','j','j','c','s']

string = word[1:21:3]

смотри гоогле что такое Питон...

дошло

не правильно много лишних символов но ответ среди них зы.

подсказка тут

Нашёл эмулятор скули, который хрен знает как работает.

По логике запроса

что неправильно? Должно бы уже впустить в админку...

И что именно искать там?

Мда...

хэш это ключ для входа и не только

Хэш генерируется таким образом:

Тоесть если я оставлю строку пароля пустой, то хэш будет "d41d8cd98f00b204e9800998ecf8427e", тоесть md5('');

Если вобью единицу в поле пароля, хеш будет md5('1'). тоесть "c4ca4238a0b923820dcc509a6f75849b".

Тоесть он генерируется динамически в зависимости от значение поля "password".

И какой хэш прикажете использовать в качестве ключа?

И еще, что означают эти два числа, которые в полях появляются?

Они имеют отношение к квесту, как их использовать?

Лично мне абсолютно ничего непонятно, ни из условий, ни из этого кривого эмулятора инъекции...

Нужно угадать пас, а потом получить нужный хэш

ТС, там точно d2,d6 ? может d2,d7 ?

там пароль 3символа

3 символа? Мда... Где этот пароль найти? Длина указанного мною хеша - 0 символов.

Причем тут какие-то числа длиною 2 и 6 символов, что сказано в условии? Какие поля?

На будущее - ТС, в квестах условия должны быть понятны ВСЕМ пользователям, а не только тебе.

ТС, в эмуляторе заложены какие-нибудь команды sql кроме коммента?

в 6лв надо достать пароль и поля

эта инфа нужна для 7 лв

6 лв все просто пройти авторизацию и взять поля и пароль

Откуда их достать?

У тебя эмулятор инъекции кривой. Или это вообще не инъекция?

там пароль к админке нужно найти или для перехода на 7 лв? если инфа нужна для 7 лв, то почему она написана в условиях 6 лв?

получаешь пароль заходишь берешь столбцы или используешь смекалку

d41d8cd98f00b204e9800998ecf8427e - это хеш от пустого пароля!

Это хеш от пустой строки!

Как с него выдернуть пароль то, если это ПУСТАЯ строчка???

а у меня такой хэш - c4ca4238a0b923820dcc509a6f75849b

это md5('1')

у каждого свой пас для входа чтоли?

одной смекалкой тут явно не обойтись. как минимум еще телепатия пригодится

просто надо достать там пароль там скул

Еще раз повторюсь, там не скуля, там тупой эмулятор скули.

Прочти мои сообщения раньше, там хэш динамический!

А union и посимвольный перебор я даже не буду пытаться использовать.

Вопрос - как достать пароль? Откуда его взять? С хеша? Где хеш взять?

Ответь по пунтам пожалуйста

1) там не скуль, там эмулятор?

2) эмулятор не понимает команд sql?

3) хеш, который выдает эмулятор - это хэш пароля для юзера milka?

4) хеш, который выдает эмулятор - это хэш пароля, нужного для перехода в админку?

5) если этот хэш действительно нужен для прохождения, то почему он разный у меня и у mailbrush'а?

вот вам пасс раз бд не можете достать...

da937a066b0348bf22d22c2457b4ba78

А ты можешь сказать, как и где ты его получил?

Я понимаю, ты администратор квеста, тебе известно все.

Но представь себя в роли обычного юзера, как бы ты достал этот хеш?

Можешь показать?

Я, конечно, в шоке от вопросов...

ЧТО я должен вписать в Answer?

Какова цель уровня? Что нужно найти?

Я знаю, что такое Api. Что дальше? Причем тут ссылка на API'шку Google Maps?

Сорри, ТС, но это не квест, а полная херня - честно скажу.