Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #97, ЯНВАРЬ 2007 г.

X-конкурс

 

Хакер, номер #097, стр. 091

В новогоднем конкурсе перед тобой стояла амбициозная задача: надо было спасти мир от злобных террористов. По адресу konkurs.xakep.ru размещался сайт террористической группировки, которой руководил Усама Бин Ладен. Беда заключалась еще и в том, что у экстримистов созрел план по захвату власти во всем мире, и был только один способ их остановить: сдать бородатого Усаму америкосам.

Победителю этого конкурса мы подгоняли 19" монитор ViewSonic со временем отклика 2 мс, поэтому желающих взломать террористов было хоть отбавляй :). Но не многие справились с этой задачей, поэтому расскажем, как это надо было делать.

На главной странице была форма аутентификации для входа в скрытый раздел сайта с характерным названием "для террористов". Подобрать пароль было невозможно: надо было искать другие пути. При исследовании системы многие взломщики незаслуженно забывают о файле robots.txt, в то время как там часто хранятся адреса страниц, не предназначенных для пользователей. В нашем конкурсе как раз там и будет прописано имя файла с паролем.

Следующий шаг - поиск багов в скрытом разделе сайта. Немного исследовав территории, взломщику предстает банальный include-баг, через который можно будет закачать web-шелл.

В листинге файлов быстро находится объект со странным именем: "gde_prachetcya_benladen.txt". Там и хранится адрес, который нужно было послать на fbi@real.xakep.ru.

Вот и все. Победителю, имя которого из-за ранней сдачи этого номера нам пока не известно, мы вручаем крутой монитор ViewSonic VX922. Подробности о новом конкурсе ищи 20 января на forum.xakep.ru.

Победитель нового конкурса вырвет из наших рук крутой монитор ViewSonic VX922 со временем отклика 2 мс. Спеши 22 января на forum.xakep.ru

Содержание
ttfb: 52.606821060181 ms