AirP0WeR/alfactf2026-writeups

GitHub: AirP0WeR/alfactf2026-writeups

The A-Team 战队参加 Alfa CTF 2026 的 22 道赛题完整题解，覆盖 Web 攻防、二进制利用、密码学、逆向工程、移动安全和数字取证等多个安全领域的实战解题思路。

Stars: 2 | Forks: 0

# 🏆 Alfa CTF 2026 — The A-Team 战队 Writeup

![CTF Badge](https://img.shields.io/badge/CTF-Alfa%20CTF%202026-blue?style=for-the-badge) ![Team](https://img.shields.io/badge/Команда-The%20A--Team-orange?style=for-the-badge) ![Solved](https://img.shields.io/badge/Решено-22%20задачи-green?style=for-the-badge) **The A-Team 战队官方 Writeup**

## 📅 比赛信息 - **🗓️ 日期：** 2026 年 4 月 25 日 (9:00–21:00 MSK，12 小时) - **🌐 平台：** [alfactf.ru](https://alfactf.ru) - **👥 战队成员：** aip0wer, lexusyamba, Mamut, Mintoren - **🎯 赛道：** IT ## 🚩 已解决的挑战

№	类别	题目	难度	描述
01	`WEB`	cat 猫	🟢 简单	作弊码 + 绕过 DOM 防护
02	`INFRA`	newjacket 新外套	🟢 简单	通过 Ctrl+X Ctrl+E (vim shell escape) 绕过 Bash 2FA
03	`PWN`	carbon 碳足迹	🟡 中等	TUI 二进制文件：通过 cursor underflow 实现越界写入 + 绕过登录
04	`CRYPTO`	backpack 数字背包	🟡 中等	AES-CBC PKCS#7 padding oracle
05	`REVERSE`	provision 物资核算	🟡 中等	逆向 Google Sheets：模 251 线性代数 + bitmap
06	`MOBILE`	peakmood PeakMood	🟡 中等	Android APK 逆向 + 在高度检查中存在符号混淆
07	`FORENSICS`	dolby 正常运行	🟢 简单	PowerPoint 隐写术
08	`WEB`	chococore 巧克力掉落	🟡 中等	JavaScript 类型混淆
09	`WEB`	basecamp 基础技能	🔴 困难	Go 中的 Race condition 死锁
10	`REVERSE`	pokoy 平静	🔴 困难	FPGA Verilog netlist 中的 White-box AES
11	`WEB`	padel 主舵手	🟡 中等	WebSocket spread-deserialize → 主机劫持
12	`WEB`	plusviber Plusviber	🟡 中等	REST IDOR + admin-secret 泄露
13	`WEB`	capital 分期付款的烦恼	🔴 困难	LFI → joblib RCE
14	`WEB`	funicular 库班敌人的缆车	🔴 困难	Next.js RSC + HTTP/2 绕过
15	`CODING`	findmyring 自我定位器	🟡 中等	在 45 次尝试内完成地球球面搜索
16	`MISC`	snowdune 雪沙丘	🟢 简单	LLM prompt injection + Shamir
17	`FORENSICS`	viberafting Vibe 漂流	🔴 困难	Supply Chain → Prompt Injection → MCP → SQLi
18	`iOS`	sealed 封闭的掉落	🔴 困难	iOS Swift 逆向 → PBKDF2/HKDF/AES-GCM 冷备份解密
19	`REVERSE`	niwhta 贫困	🔴 困难	FPGA Verilog：在 OLED trigger 条件下的 T9 暴力破解
20	`WEB`	noonechilled 当然，没有人放松过	🟡 中等	通过自动登录 bot 中的 SSRF 实现 Web Cache Deception
21	`WEB`	gyropizza 陀螺仪稳定披萨	🔴 困难	客户端：docker-alias + CSRF 之前的 Set-Cookie + iframe-CORS 绕过
22	`MOBILE`	maximum 极限	🟡 中等	Android：FCM 通道 + 群聊中的 IDOR (post-event)

## 👥 战队 **The A-Team** 是一支 CTF 战队，我们为了乐趣和提升信息安全技能而参赛。 ## 📄 许可证 Writeup 文本根据 [MIT](LICENSE) 许可证发布 — © The A-Team, 2026。 ## 🔗 链接 - **比赛：** [alfactf.ru](https://alfactf.ru/) - **The A-Team 战队：** - **联系方式：** [GitHub @airp0wer](https://github.com/airp0wer) · [Telegram @aip0wer](https://t.me/aip0wer)

**🏁 所有 Writeup 均在 CTF 结束后 (2026年4月25日，21:00 MSK) 根据比赛规则发布** 由 The A-Team 用 ❤️ 制作

标签：2FA绕过, AES, Alfa CTF 2026, Bash逃逸, C2, CBC模式, CISA项目, CRYPTO, CTF竞赛, DOM绕过, INFRA, Linux提权, meg, MISC, Padding Oracle, PWN, RE, The A-Team, TUI, WEB安全, Writeup, XSS, 二进制漏洞利用, 信息安全, 多线程, 密码学, 应用安全, 手动系统调用, 数据可视化, 日志审计, 漏洞情报, 网络安全, 网络安全竞赛, 请求拦截, 越界写入, 逆向工具, 隐私保护, 靶题解析