farouqshaheen/BRK-CYS-2026-CTF-Writeups

## 👤 关于作者 **Farouq Shaheen** 是 **Breakers Team** 的网络安全团队负责人。本仓库中展示的挑战旨在突破标准 CTF 难度的界限，重点侧重于欺骗性的安全机制、逻辑漏洞和高级 Web 漏洞利用技术。 ## 🧠 仓库概述 本仓库作为 Farouq Shaheen 为 BRK-CYS 2026 CTF 编写的挑战的官方文档和 Writeup 集合。这些挑战的核心理念是模拟真实世界的场景，攻击者必须在其中穿越层层欺骗。 重点关注领域包括： - **高级 Web 漏洞利用：** 超越基础 payload，利用复杂的逻辑漏洞（SQLi, SSTI）。 - **欺骗性安全机制：** 绕过 Web 应用防火墙（WAF），这些 WAF 使用虚假 flag 和篡改后的输出主动误导攻击者。 - **带外数据窃取：** 当传统响应被静默时，利用非常规渠道（如 HTTP Headers）提取敏感信息。 每个目录都包含详尽的 Writeup，详细说明了漏洞分析、利用方法和最终解决方案。 ## 📂 仓库结构 本仓库按挑战组织，每个文件夹包含具体的 Writeup 和相关资源。 ``` BRK-CYS-2026-CTF-Writeups/ │ ├── The Invisible Leak/ # SQL Injection & Header Exfiltration ├── phantom-protocol/ # SSTI & WAF Deception └── README.md # Main Documentation ``` ## 🧩 挑战索引 下表列出了当前可用的挑战、它们的类别以及解决它们所需的核心概念。 | 挑战名称 | 类别 | 难度 | 核心概念 | | :--- | :---: | :---: | :--- | | **[The Invisible Leak](./The%20Invisible%20Leak/)** | Web Exploitation | 🟡 中等 | SQLi, HTTP Header 窃取, 逻辑漏洞, 自动化阻挡 | | **[The Phantom Protocol](./phantom-protocol/)** | Web Exploitation | 🟠 中等偏难 | SSTI, WAF 绕过, 输出篡改, Base64 Payload | ## 🚀 技术与工具 这些挑战及其相应解决方案很大程度上依赖于以下技术和分析工具： - **语言与框架：** Python, Flask - **协议：** 深度 HTTP 协议分析 - **数据库：** SQL 与数据库管理 - **工具：** Burp Suite, Postman - **技术：** Base64 编码, 加密分析 ## ⚠️ 难度与设计理念 本仓库中的所有挑战均旨在抵御基本的自动扫描和暴力破解攻击。它们需要对 Web 协议有深刻的逻辑理解。 参与者必须做好遭遇 **Red Herrings**（故意干扰项）的准备，并必须专注于理解应用程序的底层逻辑，而不仅仅是依赖自动化工具。 ## ⚡ 未来工作 本仓库将持续更新新内容： - 增加复杂的 Web 和 Pwn 挑战。 - 扩展到网络取证类别。 - 可能会为复杂的漏洞利用场景包含详细的视频演示。 ## ⭐ 支持 如果您觉得这些 Writeup 对您的网络安全之旅具有启发性或有所帮助，请考虑在 GitHub 上给本仓库点个 ⭐！

标签：BRK-CYS, CISA项目, CTF Writeups, Farouq Shaheen, IP 地址批量处理, Out-of-Band, SSTI, StruQ, Vulnerability Analysis, WAF绕过, Web Exploitation, Web安全, Writeup, 多线程, 夺旗赛, 带外攻击, 数据外带, 网络安全, 蓝队分析, 逆向工具, 逻辑漏洞, 隐私保护, 高级Web利用