Chest/CTF-site-project
Chest/CTF-site-project
1
1
Fork 0
Code Issues Pull Requests Activity

fix: small things

Browse Source
This commit is contained in:
chest 2025-04-17 18:11:43 +03:00
parent 393f1b3a9f
commit bd018eceec
4 changed files with 6 additions and 6 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

4
app.py
View File

@ -121,7 +121,7 @@ def webidor():
def webidor_user(id): def webidor_user(id):
if 'idor_id' not in session.keys(): if 'idor_id' not in session.keys():
abort(404) abort(404)
if id <= 16: if id <= 15:
idor_users = {0: ('admin', 'superadmin@codrs.ru', 'Самый крутой админ EVER!!! Не согласен - не прав!'), 1: ('Y0ur_m0m', 'l0ser@codrs.ru', 'Ха-ха! Тупой юзер, ******, **** и *****'), 2: ('meg4_c4t', 'meowmeow@codrs.ru', 'Мяу-мяу, мяу-мяу... мяу-мяу, мяу-мяу'), 3: ('Pepeg4', 'pepeg@codrs.ru', 'Pepe love you too'), 4: ('ChestWithCat', 'chast@codrs.ru', 'Сундук из майнкрафта. На сундуке кот. Есть рыба, кота приручить?'), 5: ('legacy_user', 'legacy@coders-squad.com', 'А вот прошлый домен был лучше! Продались российским корпорациям!!!!!'), 6: ('m&ms', 'm&ms_lover@codrs.ru', 'Ставлю лайки за покупку m&ms, писать в ТГ'), 7: ('am0ng US', 'US_agent@gmail.com','Russishe Sweine!'), 8: ('anime_girl', 'megumin@codrs.ru', ''), 9: (session['idor_flag'], 'supercat@codrs.ru', 'О, смотри! Там флаг!!! Ты нашёл:3'), 10: ('b0ss_0f_this-GYM', 'b0ss@codrs.ru', 'И что же ты хотел увидеть в описании у Босса качалки?'), 11: ('CS2_Destroyer', 'player777@codrs.ru', 'Погнали в Напы выскочим, размотаем всех. Не играешь? Я в соло вытащу, а ты посмотришь'), 12: ('VerySweetBread', 'sweetbread@codrs.ru'), 13: ('pupok', 'pup_zemli@codrs.ru', 'Whait.. WHAT?!'), 14: ('secret_KGB_agent', 'b0rn_in_US4@codrs.su', 'Союз нерушимый республик свободных!'), 15: ('nikitata', '1ida_1over@codrs.ru', 'Раст победа?')} idor_users = {0: ('admin', 'superadmin@codrs.ru', 'Самый крутой админ EVER!!! Не согласен - не прав!'), 1: ('Y0ur_m0m', 'l0ser@codrs.ru', 'Ха-ха! Тупой юзер, ******, **** и *****'), 2: ('meg4_c4t', 'meowmeow@codrs.ru', 'Мяу-мяу, мяу-мяу... мяу-мяу, мяу-мяу'), 3: ('Pepeg4', 'pepeg@codrs.ru', 'Pepe love you too'), 4: ('ChestWithCat', 'chast@codrs.ru', 'Сундук из майнкрафта. На сундуке кот. Есть рыба, кота приручить?'), 5: ('legacy_user', 'legacy@coders-squad.com', 'А вот прошлый домен был лучше! Продались российским корпорациям!!!!!'), 6: ('m&ms', 'm&ms_lover@codrs.ru', 'Ставлю лайки за покупку m&ms, писать в ТГ'), 7: ('am0ng US', 'US_agent@gmail.com','Russishe Sweine!'), 8: ('anime_girl', 'megumin@codrs.ru', ''), 9: (session['idor_flag'], 'supercat@codrs.ru', 'О, смотри! Там флаг!!! Ты нашёл:3'), 10: ('b0ss_0f_this-GYM', 'b0ss@codrs.ru', 'И что же ты хотел увидеть в описании у Босса качалки?'), 11: ('CS2_Destroyer', 'player777@codrs.ru', 'Погнали в Напы выскочим, размотаем всех. Не играешь? Я в соло вытащу, а ты посмотришь'), 12: ('VerySweetBread', 'sweetbread@codrs.ru'), 13: ('pupok', 'pup_zemli@codrs.ru', 'Whait.. WHAT?!'), 14: ('secret_KGB_agent', 'b0rn_in_US4@codrs.su', 'Союз нерушимый республик свободных!'), 15: ('nikitata', '1ida_1over@codrs.ru', 'Раст победа?')}
return render_template('idor_user.html', user=idor_users[id]) return render_template('idor_user.html', user=idor_users[id])
if id not in idor_main_users.keys(): if id not in idor_main_users.keys():
@ -259,7 +259,7 @@ def osintgeoguessr():
@app.route("/osint/really_hard_task", methods=('GET', 'POST')) @app.route("/osint/really_hard_task", methods=('GET', 'POST'))
def osintrht(): def osintrht():
flag_task7 = "C4TchFl4g{13ts_p14y_min3cr4ft_t0g3th3r}" flag_task7 = "C4Tch_Fl4g{13ts_p14y_min3cr4ft_t0g3th3r}"
if request.method == 'POST': if request.method == 'POST':
user_flag = request.form['user_flag'] user_flag = request.form['user_flag']
if user_flag == flag_task7: if user_flag == flag_task7:

2
templates/idor.html
View File

@ -5,7 +5,7 @@
<div id="popup" class="sql-guide capsule-window"> <div id="popup" class="sql-guide capsule-window">
<p class="simpletext" style="text-align: left"><a class="hltext" href="https://portswigger.net/web-security/access-control/idor">IDOR(Insecure direct object references)</a> - уязвимость, позволяющая пользователю получить доступ к объекту (к которому он доступ иметь не должен) напрямую, без проверок, например по ID</p> <p class="simpletext" style="text-align: left"><a class="hltext" href="https://portswigger.net/web-security/access-control/idor">IDOR(Insecure direct object references)</a> - уязвимость, позволяющая пользователю получить доступ к объекту (к которому он доступ иметь не должен) напрямую, без проверок, например по ID</p>
<p class="simpletext" style="text-align: left">Как именно это работает? На сервере просто отсутствую проверки, которые не дают пользователю реализовать доступ к определённым объектам. На сервере это может выглядеть так: <span class="context">(привер кода ниже)</span></p> <p class="simpletext" style="text-align: left">Как именно это работает? На сервере просто отсутствуют проверки, которые не дают пользователю реализовать доступ к определённым объектам. На сервере это может выглядеть так: <span class="context">(пример кода ниже)</span></p>
<pre><code class="codefont python">@app.route("/web/idor/user_id&lt;int:id>") <pre><code class="codefont python">@app.route("/web/idor/user_id&lt;int:id>")
def user(id): def user(id):
return render_template(f'user_id{id}.html')</code></pre> return render_template(f'user_id{id}.html')</code></pre>

2
templates/mapmaster.html
View File

@ -18,7 +18,7 @@ GPS Position : 60 deg 0' 43.30" N, 30 deg 22' 43.70" E </code></pre>
<div class="container"> <div class="container">
<div class="small capsule-window info1" style="height: auto;"> <div class="small capsule-window info1" style="height: auto;">
<p class="simpletext" style="text-align: left">Я зацените вид из окна! Весь город как на ладони, круть! Только я не знаю, можно ли делать фотки <abbr class="hltext" title="Смотри подсказку(кнопка снизу слева)">территории с жёлтыми домами</abbr> - там люди в форме и различные антенны..? <p class="simpletext" style="text-align: left">Зацените вид из окна! Весь город как на ладони, круть! Только я не знаю, можно ли делать фотки <abbr class="hltext" title="Смотри подсказку(кнопка снизу слева)">территории с жёлтыми домами</abbr> - там люди в форме и различные антенны..?
Вообще я хочу попросить помощи. Недалеко от места съёмки, в парке, есть небольшая башня, она очень красивая, я часто прохожу мимо неё, однако ничего о ней не знаю. Можешь написать, в каком году она была основана? <span class="context">(В ответ запиши C4TchFl4g{год основания башни})</span></p> Вообще я хочу попросить помощи. Недалеко от места съёмки, в парке, есть небольшая башня, она очень красивая, я часто прохожу мимо неё, однако ничего о ней не знаю. Можешь написать, в каком году она была основана? <span class="context">(В ответ запиши C4TchFl4g{год основания башни})</span></p>
<img style="heigth: auto; width: 20rem" src="{{ url_for('static', filename='imgs/Yandex-task.jpg') }}"> <img style="heigth: auto; width: 20rem" src="{{ url_for('static', filename='imgs/Yandex-task.jpg') }}">
</div> </div>

2
templates/osint-hardtask.html
View File

@ -1,7 +1,7 @@
{% extends 'utils/_task.html' %} {% extends 'utils/_task.html' %}
{% block content %} {% block content %}
{% include 'utils/_forensicsidenav.html' %} {% include 'utils/_osintsidenav.html' %}
<div id="popup" class="sql-guide capsule-window"> <div id="popup" class="sql-guide capsule-window">
<p class="simpletext" style="text-align: left">Это задание чем-то хоже схоже с ARG. Стоит просто следовать подсказкам и быть внимательным, переходя от этапа к этапу.</p> <p class="simpletext" style="text-align: left">Это задание чем-то хоже схоже с ARG. Стоит просто следовать подсказкам и быть внимательным, переходя от этапа к этапу.</p>