Конкурс Х – сломай падонкаф

Xakep, номер #062, стр. 062-083-1

Вот и пришло время проверить свои знания и практический опыт в области net-security. Надеюсь, что за 5 лет существования журнала ты успел освоить некоторые секреты в Cети, о которых мы пишем, и теперь сможешь блеснуть своими навыками. Мы специально приготовили для тебя один сайт. Его необходимо проверить на безопасность и выполнить на нем конкретное задание. Для того чтобы ты справился, ][ оставил кое-какие баги на сайте. Тебе, конечно, придется постараться, чтобы найти их и воспользоваться ими. Хотя в первом конкурсе мы решили не давать особо сложных заданий.

Собственно, что же тебе нужно сделать? На сайте www.padonak.ru мы разместили тестовую страницу, к которой тебе нужно будет получить shell-доступ. Сам конкурс состоит из следующих шагов:

1. Сначала ты получаешь shell-access на сайте.

2. Далее находишь хеш пароля от mysql-базы данных, а после его обнаружения делаешь расшифровку. Как это делается, ты уже, конечно, знаешь :).

3. После дешифровки паролей ты должен вытащить аккаунты юзверей.

Эти самые аккаунты пользователей и будут доказательством того, что ты успешно прошел все три шага. А тот, кто первым пришлет эти самые аккаунты на konkurs@real.xakep.ru, получит ценный приз. Также в письме опиши процесс взлома - 1-2 Кб текста: как ты все проделал, какие программы использовал, сколько времени потратил. Это обязательно – иначе не получишь ценный приз :). Успехов!

P.S. Настоятельная просьба – если получаешь шелл-акцесс, не стирай ничего с сервера. Дай другим возможность потренироваться. Мы все равно будем следить за сайтом и обновлять его, если кто-то окажется слишком умным и все удалит. Нам на помощь придет crond.