Antichat's Quest: Authorization & Knowledge FAQ
 

Для чего пишутся manual'ы? Правильно, для помощи. Вот, и данный manual был написан для того, чтоб помочь людям, проходящим Antichat's Quest, разобраться во многих аспектах нелёгкого ремесла тех, кто, в силу своей деятельности, так или иначе, подпадает под содержание статей №272, №273 и №274 УК РФ, а так же для того, чтоб не флудить на форуме одними и теми же вопросами (то есть, для ленивых). Но, запомните: это – manual, а не solution! Описание прохождения и подробное "обсасывание" каждого задания здесь не предусмотрено конструкцией! Цель: заставить (именно – заставить) вас научиться правильно (хотя, и несколько абстрактно) мыслить, научить находить различные (в том числе – нестандартные) подходы к решению той либо иной задачи.

Кто предложил (идея): Potassum.
Кто допустил (согласование): Rebz (AQ kr3@70r).
Кто наваял (создание): back0rifice.


Перед тем, как читать данный manual, настоятельно рекомендую запомнить три простых прописных истины ("Заповеди"), а именно:

1. Всегда смотрите "Page Source" (исходный код страницы);
2. Имейте терпение и будьте предельно внимательны;
3. Активно используйте поисковые системы и справочную литературу.

На первый взгляд manual может показаться неинформативным, скудным, а кому-то – даже тупым, но, поверьте: больше, чем здесь написано, для прохождения вам знать и не надо (см. "Заповедь №3").

• Quest: Ввести пароль авторизации.
• Action: Для прохождения, необходимо вспомнить "Заповедь №1".
• ONTOP: —
• Warez: —

• Quest: Ввести данные для перехода на следующий уровень.
• Action: Мозги, "Заповедь №1", кнопка "Начать >>".
• ONTOP: —
• Warez: —

• Quest: Переход на следующий уровень.
• Action: Только логика.
• ONTOP: —
• Warez: —

• Quest: Ввести login/password для перехода на следующий уровень.
• Action: Принцип геймера: "Главное – вовремя сохраниться". Внимательность.
• ONTOP: —
• Warez: —

• Quest: Ввести пароль на следующий уровень (телефон с XSS).
• Action: Вспоминаем "Заповедь №1", видим запись: "method=GET (важно понимать, что при запросе методом GET данные формы передаются серверу вместе с URL; WEB-серверы, поддерживающие CGI, копируют эти данные в переменную окружения)", ищем марку телефона с эквивалентами буквам "…XSS…", изучаем URL, вписываем ответ, используем программу "InetCrack" либо "AccessDiver", изменяем "Referer", смотрим результат.
• ONTOP: здесь и здесь.
• Warez: InetCrack, Access Diver.

• Quest: Найти пароль при помощи картинки-подсказки.
• Action: Здесь понадобится любой HexEdit, декриптор и взломщик архивов.
• ONTOP: здесь и здесь.
• Warez: HexEdit, De-cryptor, Advanced Archive Password Recovery.

• Quest: Не задерживаться на этом уровне.
• Action: Смотрите URL. В нём – ответ.
• ONTOP: здесь и здесь.
• Warez: MD5 Inside.

• Quest: Для прохождения, необходимо зайти с IP: 10.10.10.10.
• Action: Использовать Spoofing (изменить функцию "X-Forwarded-For" на требуемую).
• ONTOP: здесь, здесь и здесь.
• Warez: Access Diver.

• Quest: Пройти авторизацию под логином "admin".
• Action: Обойти авторизацию, используя "SQL Injection" (уязвимость: поле авторизации).
• ONTOP: здесь, здесь и здесь.
• Warez: —
• Alert(!): В данном случае используется связка MySQL+PHP!

• Quest: Ввести пароль.
• Action: Мозги и знание основ JavaScript.
• ONTOP: —
• Warez: —

• Quest: Ввести пароль.
• Action: Мозги, внимательность, знание основ JavaScript.
• ONTOP: —
• Warez: —

• Quest: Найти login/password на FPT-сервере.
• Action: Знать места и принцип "складирования" *nix-системами учётных записей, понадобится программа "John The Ripper".
• ONTOP: здесь.
• Warez: John The Ripper (открывать с помощью "WinRAR").
• Alert(!): При использовании данной программы необходимо отключить все антивирусы/антитрояны/брандмауэры!

• Quest: Запустить шелл.
• Action: Знание основ PHP (include() – команда для WEB-сервера, указывающая вставить содержимое файла в HTML-страницу).
• ONTOP: здесь и здесь.
• Warez: —

• Quest: Ввести пароль.
• Action: Мозги, внимательность, знание основ JavaScript (substring() – возвращает часть значения строкового объекта, определённого двумя индексами, указанными в скобках).
• ONTOP: здесь.
• Warez:—

• Quest: Пройти авторизацию.
• Action: Внимательность и URL-декодер.
• ONTOP: —
• Warez: URL-decoder.

• Quest: Ввести пароль.
• Action: Знание основ JavaScript и ваша сообразительность.
• ONTOP: —
• Warez: —

• Quest: Ответить на 7 вопросов по *nix-системам.
• Action: Базовые знания *nix-систем.
• ONTOP: —
• Warez: —
• Alert(!): В ответе на "Вопрос №2" знак "-" перед указанием прав доступа не писать; все ответы (после второго вопроса) писать в нижнем регистре!

• Quest: Перейти на следующий уровень.
• Action: Найти файл, отвечающий за индексацию страницы.
• ONTOP: здесь.
• Warez: —

• Quest: Перейти на следующий уровень.
• Action: Работа с файлами "cookies".
• ONTOP: —
• Warez: Cookie Editor.

• Quest: Узнать login/password.
• Action: Получить данные при помощи "SQL Injection" (использовать шаблон).
• ONTOP: здесь.
• Warez: —
• Alert(!): В данном случае используется MicrosoftSQL!

• Quest: Добавить "Language" и авторизоваться.
• Action: Только сообразительность и внимательность.
• ONTOP: —
• Warez: —

Вот, в общем-то, всё. Буду рад, если кому-то наш manual в чём-то помог. Если имеются какие-то пожелания/предложения либо жалобы/проклятия – пишите в ПМ, рассмотрим, учтём. Принимается только конструктивная критика!