KelvinCreighton/HTCOTB-CTF-2026

# 情人节 + ILOVEYOU 病毒主题 Web CTF 漏洞利用挑战 这是我开发的一系列 Web 漏洞利用挑战，使用 Python 和 Flask 构建。这些挑战最初是为阿尔伯塔大学网络安全俱乐部的 CTF 活动设计的，旨在帮助玩家在一个有趣的主题环境中练习常见的 Web 漏洞。 ## 挑战 **Flag 格式：** `HTCOTB{...}` ### 1. `Cupid’s Secret Message` (文件: web-chall-idor) (难度: 简单) **主题：** 不安全的直接对象引用 (IDOR) **描述：** 一个可爱的小型 Web 应用程序，允许用户使用 ID 参数 (`/message?id=...`) 查看浪漫的情人节留言。用户会看到随机的消息 ID，但有一个特定的 ID 在 UI 中是隐藏的。 **目标：** 玩家必须操纵 `id` 参数来遍历未见过的消息，并发现隐藏的 flag。 ### 2. `HeartMail 1.0` (文件: web-chall-med) (难度: 中等) **主题：** SQL 注入 (SQLi) **描述：** 一个模拟的电子邮件收件箱应用程序 ("HeartMail")，允许用户搜索其个人电子邮件和草稿。后端使用 SQLite，但搜索参数被不安全地直接插入到数据库查询中。 **目标：** 玩家必须利用搜索输入突破预期的查询过滤器，并读取属于其他用户的电子邮件。这样做会揭示系统管理员之间交换的隐藏 SSH 私钥。使用该密钥连接到服务器后，玩家可以搜索目录并找到隐藏的 `flag.txt` 文件。

标签：CISA项目, Flask, IDOR, meg, Python, SQLi, SQLite, Syscall, Web安全, Web开发, 不安全的直接对象引用, 信息安全, 夺旗赛, 安全教育, 安全竞赛, 攻击模拟, 无后门, 漏洞靶场, 网络安全, 蓝队分析, 逆向工具, 防御检测, 隐私保护, 驱动签名利用