Пишу это прохождение по просьбе автора квеста Goudini.
Итак, начнем:
Заходим на http://gaga.phpnet.us/quest
Переходим в раздел works и замечаем 2 вещи:
1) В адресе браузера наблюдается нечто похожее на локальный инклуд.
2) Две картинки и подсказку "В какой из картинок сюрприз? =\".
Открываем картинки блокнотом, и в конце картинки с вороной видим php код отображающий все файлы в директории.
Инклудим картинку, и получаем листинг директории.
Замечаем интересный файл: backup.sql
Инклудим его, и видим имя админа admin, и нечто похожее на хеш пароля: "144c9defac04969c7bfad8efaa8ea194'". Расшифровуем хеш. Получается слово fake. Заходим в админку http://gaga.phpnet.us/quest/admin
вводим пароль и логин. Выдает: small password
Подбираем нужную длину пароля. Это 32 символа. Замечаем, что длина хеша тоже 32 символа. Вставляем в поле пароля хеш, и видим сообщение, что нужен клиент
Mozilla/5.0 (compatible; Opera 9.0; Windows 95; SV1). Меняем свой user-agent на тот что нужно, например прогой InetCrack, и проходим дальше. Видим секретную аватару. Квест пройден.