From 2ef2aeb87da2058aa898bee8e1cc3cb8d4d594de Mon Sep 17 00:00:00 2001 From: chest Date: Sun, 20 Apr 2025 09:06:24 +0300 Subject: [PATCH] fix: small things --- app.py | 5 +++-- templates/found-me.html | 2 +- templates/idor.html | 2 +- templates/index.html | 8 ++++++-- 4 files changed, 11 insertions(+), 6 deletions(-) diff --git a/app.py b/app.py index 7a30a2f..c2ca068 100644 --- a/app.py +++ b/app.py @@ -4,7 +4,7 @@ import sqlite3 from random import getrandbits from func import * import base64 -#Вот сюда тебе и надо, начинающий мастер OSINT'а! Только не смотри другие флаги: кто посмотрит, тот ***** :> +#Вот сюда тебе и надо, начинающий мастер OSINT'а! Только не смотри другие флаги: кто посмотрит, тот РџРѕРїРєР° :> connection = sqlite3.connect('database.db') @@ -122,7 +122,8 @@ def webidor_user(id): if 'idor_id' not in session.keys(): abort(404) if id <= 15: - idor_users = {0: ('admin', 'superadmin@codrs.ru', 'Самый крутой админ EVER!!! Не согласен - не прав!'), 1: ('Y0ur_m0m', 'l0ser@codrs.ru', 'Ха-ха! Тупой юзер, ******, **** и *****'), 2: ('meg4_c4t', 'meowmeow@codrs.ru', 'Мяу-мяу, мяу-мяу... мяу-мяу, мяу-мяу'), 3: ('Pepeg4', 'pepeg@codrs.ru', 'Pepe love you too'), 4: ('ChestWithCat', 'chast@codrs.ru', 'Сундук из майнкрафта. На сундуке кот. Есть рыба, кота приручить?'), 5: ('legacy_user', 'legacy@coders-squad.com', 'А вот прошлый домен был лучше! Продались российским корпорациям!!!!!'), 6: ('m&ms', 'm&ms_lover@codrs.ru', 'Ставлю лайки за покупку m&ms, писать в ТГ'), 7: ('am0ng US', 'US_agent@gmail.com','Russishe Sweine!'), 8: ('anime_girl', 'megumin@codrs.ru', ''), 9: (session['idor_flag'], 'supercat@codrs.ru', 'О, смотри! Там флаг!!! Ты нашёл:3'), 10: ('b0ss_0f_this-GYM', 'b0ss@codrs.ru', 'И что же ты хотел увидеть в описании у Босса качалки?'), 11: ('CS2_Destroyer', 'player777@codrs.ru', 'Погнали в Напы выскочим, размотаем всех. Не играешь? Я в соло вытащу, а ты посмотришь'), 12: ('VerySweetBread', 'sweetbread@codrs.ru'), 13: ('pupok', 'pup_zemli@codrs.ru', 'Whait.. WHAT?!'), 14: ('secret_KGB_agent', 'b0rn_in_US4@codrs.su', 'Союз нерушимый республик свободных!'), 15: ('nikitata', '1ida_1over@codrs.ru', 'Раст победа?')} + idor_users = {0: ('admin', 'superadmin@codrs.ru', 'Самый крутой админ EVER!!! Не согласен - не прав!'), 1: ('LiTeRallY_me', 'l0ser@codrs.ru', 'О, я-я-я!!!'), 2: ('meg4_c4t', 'meowmeow@codrs.ru', 'Мяу-мяу, мяу-мяу... мяу-мяу, мяу-мяу'), 3: ('Pepeg4', 'pepeg@codrs.ru', 'Pepe love you too'), 4: ('ChestWithCat', 'chast@codrs.ru', 'Сундук из майнкрафта. На сундуке кот. Есть рыба, кота приручить?'), 5: ('legacy_user', 'legacy@coders-squad.com', 'А вот прошлый домен был лучше! Продались российским корпорациям!!!!!'), 6: ('m&ms', 'm&ms_lover@codrs.ru', 'Ставлю лайки за покупку m&ms, писать в ТГ'), 7: ('am0ng US', 'US_agent@gmail.com','Russishe Sweine!'), 8: ('anime_girl', 'megumin@codrs.ru', 'アニメ - 世界で一番いいもの'), 9: (session['idor_flag'], 'supercat@codrs.ru', 'О, смотри! Там флаг!!! Ты нашёл:3'), 10: ('b0ss_0f_this-GYM', 'b0ss@codrs.ru', 'И что же ты хотел увидеть в описании у Босса качалки?'), + 11: ('CS2_Destroyer', 'player777@codrs.ru', 'Погнали в Напы выскочим, размотаем всех. Не играешь? Я в соло вытащу, а ты посмотришь'), 12: ('VerySweetBread', 'sweetbread@codrs.ru', '生姜猫が大好きです'), 13: ('pupok', 'pup_zemli@codrs.ru', 'Whait.. WHAT?!'), 14: ('secret_KGB_agent', 'b0rn_in_US4@codrs.su', 'Союз нерушимый республик свободных!'), 15: ('nikitata', '1ida_1over@codrs.ru', 'Раст победа?')} return render_template('idor_user.html', user=idor_users[id]) if id not in idor_main_users.keys(): abort(404) diff --git a/templates/found-me.html b/templates/found-me.html index 416c470..1f65cde 100644 --- a/templates/found-me.html +++ b/templates/found-me.html @@ -9,7 +9,7 @@

Перейдя в файл app.py в нём можно найти следующие строки:(пример ниже)

@app.route("/osint/found_me", methods=('GET', 'POST'))
 def osintfound():
-    Y0u_Fin4ly_F0und_7his = 'C4TchFl4g{Pls_supp0rt_my_pr0j3ct}'
+ Y0u_Fin4ly_F0und_7his = '[флаг]'

Собственно на строке 30 и есть флаг

скрыть diff --git a/templates/idor.html b/templates/idor.html index 1a69cad..becd807 100644 --- a/templates/idor.html +++ b/templates/idor.html @@ -12,7 +12,7 @@ def user(id):

Грубо говоря, мы можем ввести ID в путь и получить приватную страницу пользователя(конкретно тут она не выглядит сильно приватной, но всё же), ID которого ввели

Для решения этого задания стоит посмотреть на путь, и заметить, что там есть id : ctf.codrs.ru/web/idor/user_id184. Можно попробовать поменять ID и обнаружить, что нас переносит на странички других пользователей.ID, на которых есть странички - Ваш ID и числа от 0 до 15

Походив по профилям пользователей можно увидеть, что у одного из них (ID 9) Имя пользователя - флаг.

-

Далее стоит вернуться на главную, используя стрелочку назад в самом браузере, и ввести флаг в соответствующее поле. Будьте вниметельны! После каждого нажатия кнопки Войти флаг перегенерируется.

+

Далее стоит вернуться на главную, используя стрелочку назад в самом браузере, и ввести флаг в соответствующее поле. Будьте внимательны! После каждого нажатия кнопки Войти флаг перегенерируется.

скрыть diff --git a/templates/index.html b/templates/index.html index f95a4f8..7874a04 100644 --- a/templates/index.html +++ b/templates/index.html @@ -34,6 +34,10 @@ CTF Новости России - CTF News

+

+ CTF от СПБ - + forkbomb.ru +

@@ -50,9 +54,9 @@ большинство используемых утилит базово есть в Kali. Если вы используете Windows, то можно работать с - Виртуальной Машины + Виртуальной Машины или использовать онлайн-утилиты

-

Good luck, have fun =)

+

Good luck, have fun :3