CEJamesW/ctf-skills-zh

# ctf-skills 用于解决 CTF 挑战的 [Agent Skills](https://agentskills.io) — 包括 web exploitation、binary pwn、crypto、reverse engineering、forensics、OSINT 等。兼容任何支持 Agent Skills 规范的工具，包括 [Claude Code](https://docs.anthropic.com/en/docs/claude-code)。 ## 安装 npx skills add CEJamesW/ctf-skills-zh ## 在 Friday Studio 中运行 想要将这些技能作为真实工作流的一部分——调度、信号、MCP 工具、内存管理，应有尽有？将它们导入由 [Tempest Labs](https://hellofriday.ai/) 提供的可共享 AI 工作空间运行时 [Friday](https://hellofriday.ai/)。 Friday Studio 按需将技能加载到 agent 上下文中，并在可复现的工作空间内运行，你可以通过聊天、定时任务或 HTTP 触发。所有操作均在本地运行，数据保留在你的机器上，每一步都有日志记录，方便你查看 agent 在挑战中具体做了什么。 将这些技能添加到 Friday Studio 的步骤： 1. 从 [hellofriday.ai](https://hellofriday.ai/) 安装 Friday（macOS）。 2. 在 Studio 侧边栏打开 **Skills**，点击 **+ Add**。 3. 通过引用导入单个技能（例如 `CEJamesW/ctf-skills-zh/ctf-web`），或上传整个仓库文件夹。 4. 在任意 `workspace.yml` 中引用它们，或让 agent 根据技能描述自动加载。 完整工作流请参见 [Friday Skills 文档](https://docs.hellofriday.ai/core-concepts/skills)，以及包含 [AI Drift: The Hidden Cost of Building with AI](https://blog.hellofriday.ai/ai-drift-the-hidden-cost-of-building-with-ai-e2b51415b3b0) 的 [Friday 博客](https://blog.hellofriday.ai/) 了解背后的理念。 ## 环境配置 根据你的工作流，有两种配置策略： ### 预安装（推荐在比赛前） 使用中央安装入口： bash scripts/install_ctf_tools.sh all 只想安装某一工具组时，运行更精确的模式： bash scripts/install_ctf_tools.sh python bash scripts/install_ctf_tools.sh apt bash scripts/install_ctf_tools.sh brew bash scripts/install_ctf_tools.sh gems bash scripts/install_ctf_tools.sh go bash scripts/install_ctf_tools.sh manual 预览将要安装的内容（跳过已安装的软件包）： bash scripts/install_ctf_tools.sh --dry-run all 验证已安装的软件： bash scripts/install_ctf_tools.sh --verify 使用 `--force` 参数可无视已安装状态强制重新安装。安装日志保存在 `~/.ctf-tools/`。 完整的软件包列表现存于 [scripts/install_ctf_tools.sh](scripts/install_ctf_tools.sh)。 ### 按需安装（比赛中） 每个技能的 `SKILL.md` 中有 **Prerequisites** 部分，仅列出该类别所需工具。agent 遇到缺失工具时可即时安装。 ## 技能 | 技能 | 文件数 | 描述 | |-------|-------|-------------| | **ctf-ai-ml** | 3 | 模型权重扰动消除，对抗样本（FGSM、PGD、C&W）、foolbox L1BasicIterativeAttack Keras 绕过、手写 Keras FGSM 通过 K.gradients、prompt 注入、LLM 越狱、模型提取、成员推断、神经网络碰撞、LoRA 适配器利用、梯度下降反演、数据投毒、后门检测、token 走私、上下文窗口操控 | | **ctf-web** | 20 | SQL注入（EXIF元数据注入、关键词分片绕过、MySQL列截断、DNS记录注入、ORDER BY CASE WHERE绕过、二维码输入注入、双关键词过滤绕过、MySQL会话变量双值注入、information_schema.processlist竞态条件泄露、PHP PCRE回溯限制WAF绕过、BETWEEN操作符恒真绕过、Host头注入 + PROCEDURE ANALYSE()、INSERT ON DUPLICATE KEY UPDATE密码覆盖、MySQL innodb_table_stats WAF绕过）、XSS（AngularJS 1.x通过charAt/trim重写逃逸沙箱、Chrome Unicode URL归一化绕过、Referer头注入 + WebRTC IP泄露）、SSTI（Vue.js toString.constructor注入）、SSRF（Host头、DNS重绑定、ElasticSearch Groovy script_fields远程代码执行、恶意MySQL服务器LOAD DATA LOCAL文件读取）、JWT（JWK/JKU/KID注入）、原型污染、文件上传远程代码执行（BMP像素webshell + 文件名截断绕过）、Node.js VM逃逸、XXE（DOCX/Office XML上传）、JSFuck、Web3/Solidity（重入DAO模式）、delegatecall滥用、瞬态存储清理冲突、Groth16证明伪造、phantom市场未解析、HAProxy绕过、多语言XSS、CVE（Apache CVE-2012-0053 HttpOnly cookie泄露）、HTTP TRACE绕过、LLM越狱、Tor模糊测试、SSRF→Docker API远程代码执行、PHP类型混淆、PHP assert()字符串求值注入、PHP LFI / php://filter（+ /dev/fd符号链接绕过）、PHP zip://包装器LFI通过PNG/ZIP多语言文件、PHP extract()变量覆盖、PHP反引号eval字符限制绕过、PHP变量变量（$$var）滥用、PHP uniqid()可预测文件名、PHP ReDoS代码执行跳过、PHP SoapClient CRLF SSRF通过__call()反序列化、Python str.format()属性遍历信息泄露、DOM XSS jQuery hashchange、XML实体WAF绕过、React服务器组件Flight远程代码执行（CVE-2025-55182）、XS-Leak定时oracle、GraphQL CSRF、Unicode大小写折叠XSS（长s U+017F）、Unicode同形异义路径遍历（U+2E2E）、CSS字体字形容器查询数据外泄、Hyperscript CDN CSP绕过、PBKDF2前缀定时oracle、SSTI `__dict__.update()`引号绕过、ERB SSTI Sequel绕过、仿射密码OTP暴力破解、Express.js `%2F`中间件绕过、WIP端点IDOR、Apache mod_status信息泄露 + 会话伪造、Apache mod_rewrite PATH_INFO绕过、Nginx别名遍历.env泄露、OAuth/OIDC利用、OAuth邮箱子地址绕过、CORS配置错误、哈希长度扩展攻击（hashpumpy）、Thymeleaf SpEL SSTI + Spring FileCopyUtils WAF绕过、Castor XML xsi:type JNDI、Apache ErrorDocument表达式文件读取、SAML XPath摘要走私（CVE-2024-45409）、PaperCut认证绕过（CVE-2023-27350）、Zabbix SQL注入（CVE-2024-22120）、CI/CD变量窃取、git历史凭据泄露、身份提供者API接管、Guacamole连接提取、登录页面投毒、TeamCity REST API远程代码执行、Squid代理枢纽、LaTeX注入远程代码执行、LaTeX mpost受限write18绕过、Java反序列化（ysoserial，XMLDecoder远程代码执行）、.NET JSON TypeNameHandling $type反序列化、Python pickle远程代码执行（+ STOP操作码链）、XPath盲注、竞态条件（TOCTOU）、客户端HMAC绕过通过泄露的JS密钥、SQLite文件路径遍历字符串相等绕过、PHP preg_replace /e远程代码执行、Prolog注入、HQL不换行空格解析器不匹配注入、sendmail参数注入、base64编码路径遍历LFI、终端控制字符混淆、通过Cloud Run白名单域名绕过CSP、多条码拼接shell注入、通过base标签劫持绕过CSP nonce、JA4/JA4H TLS指纹匹配、git CLI换行注入、XSSI通过JSONP回调数据外泄、Shift-JIS编码SQL注入（多字节字符集不匹配）、PHP序列化长度操控通过过滤器扩展、通过link预取绕过CSP、bash大括号扩展无空格注入、通过X-Forwarded-For头XML注入、Common Lisp读取宏注入、base64解码宽容签名绕过、Windows 8.3短文件名路径遍历绕过、URL parse_url() @符号SSRF绕过、SSRF parse_url/curl双@差异、通过PHP srand(time())种子弱点恢复TOTP、Ruby ObjectSpace内存扫描、Ruby Regexp.escape多字节绕过、GraphQL注入（内省、查询批处理/别名、字符串插值）、PHP7 OPcache二进制webshell + LD_PRELOAD禁用函数绕过、wget GET参数文件名技巧、tar文件名命令注入、通过Flask错误页面XSS到SSTI链、INSERT INTO双字段SQL注入列偏移、通过时间戳种子伪随机数生成器伪造会话cookie、PNG/PHP多语言上传 + 双扩展 + 禁用函数scandir绕过、跨源cookieXSS通过共享父域、通过十进制IP + 括号表示法绕过XSS点过滤、编辑器备份文件（~/.swp）源码泄露、date -f任意文件读取、顺序正则替换绕过、Java hashCode()碰撞认证绕过、SQLite randomblob()盲定时oracle、wget CRLF SSRF到SMTP注入、CSS @font-face unicode-range数据外泄、Gopher SSRF到MySQL盲SQL注入、PHP hash_hmac NULL通过数组绕过、Smarty SSTI CVE-2017-1000480、vsprintf双重准备格式字符串SQL注入、自定义序列化器整数溢出字段注入、postMessage空源绕过通过data: URI iframe、WAV多语言上传通过`.wave`扩展绕过、基于SNI的FTP协议走私通过HTTPS、Apache mod_vhost_alias通过Host头文档根目录覆盖、未转义点SSRF正则白名单绕过、PHP eval正则绕过通过`current(getallheaders())`、Python f-string格式注入盲提取、通过攻击者控制的mime-type绕过同源脚本CSP、React `__reactInternalInstance$`组件状态提取、PHP parse_str()变量注入、SQL注入内联注释多字段拆分、PHP全角美元符号正则锚点绕过、MySQL REGEXP逐字节oracle带反引号注释绕过、LDAP过滤器突破带通配符注入、Jinja2 SSTI通过globals.__self__.exec()字符串拼接绕过、web.py reparam() eval + __subclasses__清空内置绕过、Redis Lua redis.call()注入、无锚点正则命令注入、Java TiedMapEntry + LazyMap反射HashMap补丁、X-Forwarded-Host CDN模板获取缓存投毒、std::unordered_set桶碰撞认证绕过、AES cookie长度字段截断 + CRC32交换、多斜杠URL `path.startswith`绕过、Xalan XSLT math:random()种子猜测、SoapClient _user_agent CRLF HTTP方法走私、`gopher:///`无主机URL方案绕过、通过攻击者指定的出站URL泄露SSRF凭据、nodeprep.prepare Unicode同形用户名碰撞、PHP (int)强制转换前导数字路径遍历、递归替换 `....//`遍历、jQuery `$(location.hash)` CSS选择器定时泄露、Werkzeug SecureCookie pickle远程代码执行在SECRET_KEY泄露后、PHP create_function字符串插值远程代码执行、php://input + NULL字节 + `~`按位base64过滤绕过、SVG XXE通过svglib-to-PNG管道、strpos子串匹配黑名单绕过、ExpressionEngine FileManager ORDER BY排序键SQL注入、EXIF ImageDescription通过exiftool shell注入、SRP A=0/A=N认证绕过、ArangoDB AQL MERGE注入、.phar扩展上传绕过、vsftpd 2.3.4笑脸后门（CVE-2011-2523）、字符串分隔符序列化中的冒号/换行注入、PHP unserialize双重URL编码curl LFI、Python pickle远程代码执行封装在ROT13(Base64)、SQLite通过X-Forwarded-For PHPSESSID联合盲注、引号相邻联合过滤绕过、AMQP/TLS通过sslsplit + arpspoof拦截、CairoSVG XXE通过超大宽度、Bazaar (.bzr)仓库重建、WordPress RevSlider上传 + MySQL load_file() SSH枢纽（CVE-2014-9734）、User-Agent限制robots.txt、PHP log()/INF数学相等 + 递归urldecode、CloudFlare缓存投毒通过.js用户名 + 存储SVG XSS | | **ctf-pwn** | 18 | 缓冲区溢出，ROP 链，ret2csu，ret2vdso，vsyscall ROP PIE 绕过，坏字符 XOR 绕过，奇异 gadget（BEXTR/XLAT/STOSB/PEXT），栈枢轴（xchg rax,esp，双 leave;ret 到 BSS），sprintf() gadget 链接坏字符绕过，带 UTF-8 限制的 SROP，stub_execveat 系统调用作为 execve 替代，格式字符串（保存的 EBP 覆盖，argv[0] 栈破坏信息泄露，__printf_chk 绕过带连续 %p，单次 printf 调用中的泄露 + GOT 覆盖，Objective-C %@ objc_msg_lookup 利用，strlen int8_t 截断绕过，ROT13 编码格式字符串利用），堆利用（unlink，House of Force 顶块覆盖，House of Apple 2 + setcontext SUID 变体，Einherjar，有符号/无符号字符下溢，tcache 指针解密，unsorted bin 提升，XOR 密钥流暴力写入，GF(2) 高斯消元多遍 tcache 投毒，应用层堆整理，UAF vtable 指针编码 shell 参数，fastbin stdout vtable 两阶段劫持用于 PIE + 全 RELRO，_IO_buf_base 空字节 stdin 劫持，glibc 2.24+ vtable 验证绕过，stdin _IO_buf_end 上的 unsorted bin，mp_ 结构上的 unsorted bin），FSOP（stdout TLS 泄露，TLS 析构函数 `__call_tls_dtors` 劫持，无泄露 libc 通过多 fgets stdout 覆盖），RETF x64→x32 架构切换 seccomp 绕过，x32 ABI 系统调用号别名 seccomp 绕过，seccomp BPF X 寄存器寻址模式绕过，基于时间的盲 shellcode（写入被阻止），GC 空引用级联破坏，基于步幅的 OOB 泄露，canary 字节逐个暴力破解，栈 canary 空字节覆盖泄露 + 返回主函数，栈 canary XOR 尾声作为 RDX 清零 gadget，seccomp 绕过，沙箱逃逸（CPU 模拟器 eval 注入），自定义虚拟机，VM UAF slab 重用，io_uring UAF SQE 注入，整数截断（int32→int16，运算顺序算术），musl libc 堆（元指针 + atexit），自定义影子栈指针溢出绕过，有符号整数溢出负 OOB 堆写，XSS 到二进制 pwn 桥接，4 字节 shellcode 通过持久寄存器的定时侧信道，预初始化寄存器的最小 shellcode，syscall RIP→RCX 的唯一字节 shellcode，shellcode 唯一字节计数器溢出绕过，CRC oracle 作为任意读原语，UTF-8 大小写转换缓冲区溢出（g_utf8_strup），ARM Thumb shellcode + dup2 套接字重定向，Motorola 68000 (m68k) 两阶段 shellcode，DOS COM 实模式 shellcode（int 0x21），Forth 解释器系统字利用，DynELF 自动化 libc 发现，受限 shellcode（15 字节 execve），协议长度字段栈泄露，逐字符定时攻击恢复 flag，单比特翻转利用原语（mprotect + 迭代代码修补），生命游戏 shellcode 通过静态生命体进化，菜单驱动 strdup/free 顺序的 UAF，自定义 printf arginfo 覆盖，Lua 游戏逻辑整数下溢，神经网络函数指针索引 OOB，Linux 内核利用（ret2usr，内核 ROP prepare_kernel_cred/commit_creds，modprobe_path，core_pattern，tty_struct kROP，userfaultfd 竞态，SLUB 堆喷射，KPTI 跳板/信号处理绕过，KASLR/FGKASLR __ksymtab 绕过，SMEP/SMAP，GDB 模块调试，initramfs/virtio-9p 工作流，MADV_DONTNEED 竞态窗口扩展，跨缓存 CPU 分割攻击，PTE 重叠文件写入，kmalloc 大小不匹配 + struct file f_op 损坏，eBPF 验证器绕过利用，addr_limit 绕过通过失败文件打开），Windows SEH 覆盖 + pushad VirtualAlloc ROP，Windows CFG 绕过使用 system() 作为有效调用目标，IAT 相对解析，分离进程 shell 稳定性，SeDebugPrivilege SYSTEM 提权，/proc/self/mem 任意写原语，游戏 AI 算术平均 OOB 读，任意读写 GOT 覆盖到 shell，栈泄露通过 __environ + memcpy 溢出，JIT 沙箱 uint16 跳转截断，DNS 压缩指针栈溢出，ELF 代码签名绕过通过程序头操作，游戏关卡有符号/无符号坐标不匹配，FD 继承通过缺失 O_CLOEXEC，元数据解析中的符号扩展整数下溢，带只读原语的 ROP 链，process_vm_readv 沙箱逃逸，命名管道 (mkfifo) 文件大小绕过，格式字符串 .fini_array 循环多阶段利用，talloc 池头伪造，解析器栈溢出通过未检查 memcpy 并恢复被调用者保存寄存器，不安全 unlink BSS + 顶块合并，mmap/munmap 大小不匹配 UAF 线程栈重叠，过早全局索引 OOB 栈写，strcspn 间接空字节注入，printf_function_table/printf_arginfo_table 调度劫持，atexit PTR_MANGLE 秘密恢复，scanf 格式字符串栈覆盖，realloc(ptr 0) UAF，JIT-ROP 系统调用字节扫描泄露 GOT 函数，ret2dl_resolve 64 位带 VERSYM 绕过，素数唯一 ROP 通过哥德巴赫分解，单字节引用计数回绕 UAF，Unicorn 模拟器 sysenter/alt-syscall 绕过，空令牌 strncmp(n=0) MAC 绕过，Chip-8 模拟器 OOB 内存 ret2libc，双精度浮点快速排序 canary 重新定位，布隆过滤器 abs(INT_MIN) 负索引 OOB 写，未初始化块残留指针泄露，tcache strcpy 空字节溢出 + 反向合并，ARM64 getusershell() x0 设置 gadget 用于 system()，用户-内核-虚拟机 I/O 端口 hypercall 链，返回地址最低字节覆盖 + read() 链接，canary 尾随字节泄露通过过去的空填充，不完美 gadget 栈枢轴带垃圾算术，_fini_array 双重条目分阶段 ROP 静态二进制，ACPI DSDT OperationRegion shellcode 用于内核提权，ARM fcntl64 set_fs() CVE-2015-8966 管道外泄，格式字符串 HTTP User-Agent PIE+canary 单请求泄露，空字节地址碎片化用于微型缓冲区格式字符串，自定义 VM 交换指针自覆盖，9 字节 test+je 套接字超时位泄露，RtlCaptureContext 确定性 Windows 栈泄露，IEEE 754 双精度作为 shellcode 通过指数修正，邻接结构函数指针溢出用于 libc 泄露 + GOT 覆盖，隐藏菜单选项 tcache 投毒，仅索引边界检查 + 步幅 OOB 写，有符号索引负 OOB 到前置 GOT，PIE 同页函数枢轴通过单字节覆盖，tcache 双重释放 + 伪 _IO_FILE vtable stdout 劫持，tcache 到 fastbin 提升跨 bin 攻击，6 位 OOB 数组 + 写入字节累加器用于增量函数指针覆盖，IS_MMAPED 位翻转 libc 泄露 + tcache __free_hook 劫持，LSB 仅 fastbin 投毒受文件名正则约束，自定义分配器不安全 unlink GOT 覆盖，字母数字 shellcode push r12/pop rax 引导当 rax=0，scanf "-" 格式错误跳过作为 canary 绕过，PIE 绕过通过一致的 glibc mmap 基址，静态 ret2libc 带 3 字符输入限制，受控 rdx*8 函数指针索引的 OOB 调度表读取，Game Genie 6 字节二进制补丁编码，Go 切片容量别名通过结构体值复制，自定义 binfmt 内核模块加载利用 | | **ctf-crypto** | 16 | RSA（小e，共模，Wiener，Fermat，Pollard p-1，Hastad广播，带线性填充的Hastad广播Coppersmith，Coppersmith，线性相关素数q=kp+delta的Coppersmith，q~4p的线性相关素数Coppersmith，Franklin-Reiter相关消息攻击e=3，Manger，Manger OAEP定时，p=q绕过，立方根CRT，phi倍数分解，弱密钥生成基表示，gcd(e,phi)>1指数缩减，CRT故障攻击位翻转恢复，同态解密oracle绕过，小素因子CRT分解，蒙哥马利约简定时攻击，Bleichenbacher低指数签名伪造，e=1签名绕过（带特制模数）），AES（修改S-Box暴力恢复，ECB逐字节选择明文，ECB剪切粘贴块操作，CBC IV位翻转认证绕过，CBC IV伪造+块截断认证绕过，CBC UnicodeDecodeError侧信道oracle，CTR常数计数器重复密钥流，CFB IV从时间戳种子PRNG恢复，填充oracle到CBC位翻转命令注入，逐字节清零oracle密钥恢复，错误消息解密oracle密文伪造），ECC（Ed25519扭结侧信道，共享素因子GCD，DSA通过k生成的MD5碰撞密钥恢复），ECDSA随机数重用，DSA有限k值暴力，PRNG（MT通过GF(2)矩阵浮点恢复用于令牌预测，MT从子集和恢复种子，MT通过约束传播状态恢复，V8 XorShift128+ Math.random状态恢复+逆向预测，C srand/rand ctypes同步），ZKP（Shamir秘密共享多次使用多项式攻击），Groth16破坏设置，DV-SNARG伪造，KZG配对oracle置换恢复，编织群DH，BB-84 QKD中间人攻击，GF(2)线性代数内省CRC，LWE/CVP格攻击，AES-GCM，经典/现代密码（Polybius方阵），Kasiski检验，多字节XOR频率分析，可变长度同音替换，哈希长度扩展，压缩oracle（CRIME风格），RC4第二字节偏差，RSA乘法同态签名伪造，Rabin LSB奇偶oracle（二分搜索解密），噪声LSB oracle事后纠错，PBKDF2预哈希绕过（密码>哈希块大小），MD5多碰撞通过fastcol，自定义哈希状态通过已知中间态反转，CRC32小载荷暴力，S-box碰撞，GF(2) CRT，历史密码，OTP密钥重用，Logistic映射PRNG，RsaCtfTool，热带半环剩余，LFSR流密码攻击（Berlekamp-Massey，相关攻击，通过自相关恢复Galois抽头），CRC32碰撞签名伪造，Blum-Goldwasser位扩展oracle，baby-step giant-step（BSGS，+稀疏/低汉明重指数变体）+ Pohlig-Hellman平滑阶DLP，Paillier密码系统攻击，Paillier LSB oracle通过同态加倍，Merkle-Hellman背包LLL，汉明码螺旋交织，ElGamal通用重加密，ElGamal当B=p-1时的平凡DLP，XOR连续字节相关，Paillier oracle大小绕过通过密文分解，批量GCD共享素因子分解，哈希函数周期反转（Floyd/Brent），FPE Feistel暴力，二十面体对称群密码，Goldwasser-Micali密文复制oracle，网格置换密码密钥空间缩减，OFB模式可逆RNG逆向解密，基于图像的凯撒移位密码，弱密钥派生通过公钥哈希XOR，HMAC-CRC线性攻击（GF(2)密钥恢复），HMAC XOR+加法逐位密钥oracle，自定义MAC伪造通过XOR块抵消密钥轮转，DES弱密钥OFB模式（周期2密钥流），简化轮AES的方阵攻击/积分密码分析，RSA部分密钥恢复从dp/dq/qinv，DSA随机数重用私钥恢复，AES-GCM随机数重用/禁用攻击（GHASH多项式密钥恢复），SRP协议绕过通过模运算，XOR密钥恢复通过文件格式头（PDF/PNG/ZIP魔数），三轮XOR协议密钥抵消，海绵哈希中间人碰撞部分状态，SPN S-box交集部分密钥恢复，SPN列向XOR暴力，Z3约束求解流密码，斐波那契流密码位置偏移oracle，差分隐私拉普拉斯噪声抵消，同态加密oracle位提取，AES-CTR + CRC GF(2)线性签名伪造，SHA-256基攻击用于XOR聚合哈希绕过，3D Vigenere回文对称密钥恢复，基于Jordan标准形的矩阵ElGamal，规则86元胞自动机PRNG通过Z3逆向，ROCA攻击CVE-2017-15361，OSS（Ong-Schnorr-Shamir）签名伪造，虚无主义密码双重密码恢复，16字节XOR块密码结构反转，SHA-1选择前缀PDF签名伪造，哈希链前像认证绕过，Cayley-Purser无私钥解密，依赖素数RSA（q=e^-1 mod p），通过游程编码碰撞恢复密钥流，AES-CBC随机数剥离通过块边界对齐，RSA三密钥两两GCD三角形，Java LCG中间相遇通过部分模，LCG通过乘法逆元逆向，Schmidt-Samoa RSA n=p^2*q变体，通过加密残差GCD恢复模数，教科书RSA通过encrypt(-1)取反，多指数RSA p^p组合GCD，带模式运行恢复偏置LSB oracle，AES-CTR长度提示立方根回绕，LFSR位折叠恢复从ASCII奇偶，Z3求解时间定时oracle在PRNG，randcrack驱动DSA k预测，时间种子PRNG偏移通过格式字符串全局写，NTP中毒PRNG UUID XOR状态泄露，CBC IV从块2已知明文恢复，迭代SHA-256定时oracle字符匹配，旗语照片解码，两字节半字节重组带随机填充，RSA p = next_prime(2^k + small)共享素数批量GCD，PNG加密受512位密钥尾部替换限制，BIP39部分助记词校验和暴力，Asmuth-Bloom阈值秘密共享通过CRT，LFSR滤波线性消除攻击，主机名作为XOR密钥通过DNS捕获泄露，通过明文可塑性恢复模数，RSA CRT d_p空字节溢出素数泄露，教科书RSA签名盲化通过消息分解，最后字节模数覆盖通过strlen-1空截断，Ed25519同随机数密钥恢复，奇异曲线ECDLP到加法/乘法群，GF(p)线性系统AES密钥从PCAP矩阵恢复，SHA-1长度扩展带UTF-8高字节绕过，跨会话立方根恢复通过CRT，带多项式素数的Rabin密码系统，LCG周期检测，通过Vandermonde多项式系数恢复，定制GCM GHASH密钥恢复（素数模数），SHA-1长度扩展+AES-CBC Cookie伪造，CRC32碰撞oracle + RSA同态签名伪造，Hensel引理多项式根提升mod p^k，Rabin解密通过四根CRT组合，CBC前块字节翻转用于Cookie权限提升 | | **ctf-reverse** | 18 | 二进制分析，自定义虚拟机（+ VM字节码提升到LLVM IR），WASM，RISC-V，Rust serde，Python字节码，OPAL，UEFI，游戏客户端，反调试，反虚拟机/反沙箱（CPUID，MAC，时间，文件/注册表痕迹），反DBI（Frida/Pin检测），代码完整性/自哈希，反反汇编（不透明谓词，垃圾字节，控制流扁平化），MBA混淆，使用Keystone+Unicorn的指令跟踪反转，基于strace计数的SIGFPE信号处理器侧信道，基于objdump模式提取的批量crackme自动化，fork + pipe + 死分支反分析，Android DEX运行时字节码补丁通过/proc/self/maps，Frida Android证书绑定绕过 + 本地JNI调用，Android TracerPid/su/system属性反调试，基于Android日志的加密密钥提取，本地JNI密钥转储 + smali补丁，pwntools二进制补丁，Binary Ninja，dogbolt.org，Frida动态插桩，angr符号执行，lldb，x64dbg，VMProtect/Themida分析，二进制差异分析（BinDiff，Diaphora），去混淆（D-810，GOOMBA，Miasm），Qiling框架，Triton DSE，r2frida，反向调试（rr），高级Ghidra/GDB脚本，GDB约束提取 + ILP求解器，GDB位置编码输入零标志监控，LD_PRELOAD执行仅二进制转储，LD_PRELOAD time()冻结实现确定性分析，LIEF二进制插桩，Rizin/Cutter，RetDec，Manticore，Sprague-Grundy博弈论，内核模块迷宫求解，多线程虚拟机通道，多层自解密暴力破解，收敛位图，.NET/Android逆向（RijndaelManaged XOR+AES两阶段解码），Flutter/Dart AOT（Blutter），Verilog/硬件逆向，Godot/Roblox游戏资源，CVP/LLL格验证，JNI RegisterNatives，决策树混淆，GLSL着色器虚拟机，GF(2^8)高斯消元，Z3单行Python电路，滑动窗口popcount，Ruby/Perl多语言，Electron ASAR + 本地二进制逆向，Node.js npm运行时内省，D语言二进制逆向（符号解混淆，Phobos库），Go二进制逆向（GoReSym，goroutines），Haskell GHC CMM中间语言逆向，Rust二进制逆向（解混淆，panic字符串），C++ vtable/RTTI重建，C++析构函数隐藏验证（__cxa_atexit），Swift二进制逆向，Kotlin/JVM逆向，多线程反调试诱饵 + 信号处理器MBA，通过栈帧操作实现无调用函数链，后门共享库检测，键盘LED摩尔斯码通过ioctl，Intel Pin指令计数侧信道，LD_PRELOAD memcmp侧信道暴力破解，SIGILL处理器执行模式切换，rt_sigprocmask侧信道内存破坏，HD44780 LCD GPIO重建，MIPS64 Cavium OCTEON CP2硬件加密，EFM32 ARM MMIO AES加速器，MBR/引导加载程序逆向使用QEMU+GDB，Game Boy ROM Z80分析（bgb调试器），MFC消息映射调试，虚拟机顺序密钥链暴力破解使用OpenMP，自定义binfmt内核模块RC4平面二进制，哈希解析导入无导入勒索软件，BF逐字符静态分析，BF侧信道读取计数oracle，BF比较习语检测，Go二进制UUID补丁用于C2枚举，Frida Firebase云函数绕过，Android本地.so绕过通过新项目，BPF JIT过滤器分析，TensorFlow DNN sigmoid反转，ELF节头损坏反分析，ARM64/AArch64逆向与利用（调用约定，ROP，qemu仿真），通过UnicornJS在图像像素中执行ARM代码，Intel SGX enclave逆向与远程证明，IBM AS/400 SAVF EBCDIC解码，INT3 coredump暴力破解oracle，信号处理器链LD_PRELOAD oracle，FRACTRAN程序反转，仅操作码跟踪重建，Burrows-Wheeler变换反转，OpenType字体连字利用（GSUB表），ROP链混淆分析（ROPfuscation），指令计数器作为加密状态（路径依赖字节变换），线程竞态有符号整数溢出（cdqe符号扩展），ESP32/Xtensa固件逆向带ROM符号映射，时间锁定二进制带基于日期的密钥，x86 16位MBR psadbw约束求解，Haskell STG闭包逆向 + hsdecomp，自定义虚拟机模糊测试指令集发现，Intel Pin遗传算法用于自修改代码，Frida记忆化递归函数加速，printf格式字符串虚拟机反编译到Z3，通过strace `process_vm_writev`父进程补丁子进程二进制转储，四叉树递归图像格式解析器，Glulx交互式小说字节码矩阵验证，KVM客户机分析通过ioctl + KVM_EXIT_HLT块链，Coreboot ROM XOR对位翻转地址发现，Rust生命周期逃逸通过编译器bug #25860，Rust #[no_mangle] libc覆盖绕过seccomp，GDB trap-flag自检带cmovz补丁，SIGFPE处理器mprotect代码变异，GDB寄存器侧信道在putchar()，GNU Make图灵机模拟器，Rust xmmword常量提取通过IDAPython，Nuitka编译的Python模块存根注入，RISC-V QEMU执行带GLIBC符号版本补丁，APK证书SHA-256作为AES密钥，radare2自定义虚拟机跟踪可视面板，boolector SMT2用于自定义哈希反转，单字节XOR ROM去混淆扫描，WebKit Array.slice OOB CVE-2016-4622，ConfuserEx动态模块转储通过构造函数断点，Moxie ISA自定义操作码发现，Unity APK Assembly-CSharp.dll运行时补丁，Il2CppDumper用于Unity IL2CPP元数据恢复，libSegFault.so崩溃时寄存器转储，r2pipe二进制遍历 + DP约束求解器，Android smali注入以击败LocalBroadcastManager，GDB在strcmp处断点命令用于动态XOR密钥恢复，多模CRT密钥生成带矩阵查找密码，PEDA current_inst逐位标志抓取，虚拟机跟踪差异而非完整反汇编 | | **ctf-forensics** | 14 | 磁盘/内存取证（GIMP 原始内存转储可视化检查，Kyoto Cabinet 哈希数据库取证）、RAID 5 XOR 恢复、APFS 快照恢复、Windows KAPE 分诊、Windows/Linux 取证、隐写术（Arnold's Cat Map 解扰，FFD9 后 MJPEG 额外字节，高分辨率 SSTV 自定义 FM 解调，EXIF zlib + 三角数 LSB，PDF xref 生成编号隐蔽通道，像素级 ECB 去重图像恢复）、网络抓包、tcpdump、TLS/SSL keylog 解密、通过 PKCS12 密钥提取进行 RDP 会话解密、USB HID 绘图、USB HID 键盘捕获解码（含箭头键导航跟踪）、USB MIDI Launchpad 流量重构、UART 解码、从 WAV 音频解码串口 UART 数据、侧信道功率分析、数据包时序、3D 打印、信号/硬件（VGA、HDMI、DisplayPort、I2C 总线协议、IBM-29 打孔卡 OCR）、BMP 位平面二维码、图像拼图重组、音频 FFT 音符、KeePass v4 破解、跨通道多比特 LSB、F5 JPEG DCT 检测、PNG 调色板隐写、PNG 高度/CRC 操作、APNG 帧提取、键盘声学侧信道、视频中的大写锁定 LED 摩尔斯码、DeepSound 音频隐写及密码破解、从曲面玻璃反射重建二维码、TCP 标志隐蔽通道、Brotli 解压炸弹缝隙、Git reflog/fsck 合并恢复、浏览器痕迹分析、DNS 尾部字节二进制编码、通过二进制响应探测的 DNS 渗漏 oracle、带 mDNS 密钥和可打印性合并的伪 TLS 流、基于种子的像素置换隐写、像素坐标链隐写、AVI 帧差分像素隐写、通过 LSARPC 的 SMB RID 回收、Timeroasting MS-SNTP 哈希提取、RADIUS 共享密钥破解（radius2john）、shellcode pcap 中的 RC4 流识别、Android 取证、Docker 容器取证、云存储取证、通过 pyrasite 恢复 Python 内存源码、HFS+ 资源分叉隐藏二进制恢复、从差异表重建 SQLite 编辑历史、通过头字段操作修复损坏 ZIP、JPEG 缩略图像素到文本映射、带像素过滤的条件 LSB、GIF 帧差分摩尔斯码、GZSteg + spammimic、音频波形二进制编码、音频频谱隐藏二维码、通过时间戳排序重组分卷档案、视频帧平均隐藏内容、反转音频、从 coredump 提取 TLS 主密钥、损坏 git blob 修复、损坏 PCAP 修复（pcapfix）、通过 aeskeyfind 恢复 LUKS 主密钥、PRNG 时间戳种子暴力破解密钥恢复、VBA 宏二进制恢复、FemtoZip 共享字典解压、带字节旋转的 ICMP 负载隐写、通过校验和验证重组数据包、电子表格频率分析二进制恢复、JPEG slack 空间隐写、最近邻插值像素网格隐写、XFS inode 重建、tar 重复条目提取、嵌套套娃文件系统层、通过空字节交错实现反雕刻、BTRFS 子卷/快照恢复、JPEG XL TOC 置换隐写、Kitty 终端图形协议、ANSI 转义序列隐写（含网络抓包变体）、CD 音频光盘镜像隐写（CIRC 解交织 + 螺旋渲染）、自动立体图求解、两层字节+行交错、多流视频容器隐写、FAT16 空闲空间数据恢复、FAT16 删除文件恢复（含删除 .git 恢复）、ext2 孤立 inode 恢复（通过 fsck）、NTFS 备用数据流（ADS）、Linux input_event 键盘记录转储解析、VBA 宏 Excel 单元格到 ELF 二进制提取、RGB 奇偶校验隐写、WPA/WEP WiFi 解密、SAP Dialog 协议解密、BSON 格式重建、TrueCrypt/VeraCrypt 卷挂载、以太坊/区块链交易追踪、渐进式 PNG 分层 XOR 解密、dnscat2 DNS 隧道重组、USB 键盘 LED 摩尔斯码渗漏、未引用 PDF 对象隐藏页面、Windows certutil base64 ZIP 内存恢复、从 git 提交历史恢复 DNSSEC 密钥、GIF 调色板操作二维码重建、JPEG 单比特翻转暴力破解 + OCR、Angecryption（AES-CBC 有效文件到有效文件）、SVG 微坐标隐写、NTFS EFSTMPWP `cipher.exe` 擦除痕迹检测、字节反转 `.docx` ZIP 双向归档、ICMP 回显负载长度隐蔽通道、蓝牙 RFCOMM 数据包重组、ICMP ping 延时隐蔽通道、Volatility mftparser 基于偏移的删除文件恢复、XZ 流头通过 CRC32 重建修复、GIF 帧 PLTE 块拼接到 ELF、幸存像素上的嵌套缩放二维码叠加、ImageMagick +append 拼图拼接及缺口求解、ZipCrypto bkcrack 已知明文破解、SQLite 序列类型字节取证、MIDI Note-On/Note-Off 音高对编码、Volatility 剪贴板插件用于复制粘贴秘密恢复、通过 ASCII 艺术签名检测 Brotli blob、corkami/pocs MD5 PDF 碰撞管线、GBA USB URB_INTERRUPT 帧缓冲提取、Volatility 凭证恢复工具包（mimikatz/hashdump/printkey/memdump/netscan/pstree/dlllist）、Tektronix 逻辑分析仪 CSV 时钟边沿提取、steghide 密码隐藏在 JPEG 头元数据中、损坏 PNG 魔数 + 小写块头修复、递归 binwalk PNG->PDF->DOCX->PNG->Base64 链、带 exrex 的正则密码嵌套 zip 链、多色二维码二进制映射暴力破解 | | **ctf-osint** | 3 | 社交媒体、地理定位、Google Lens 裁剪区域搜索、反射/镜像文本读取、街景全景匹配、What3Words 微地标匹配、Google Plus Codes、百度反向图片搜索、Overpass Turbo 空间查询、用户名枚举、用户名元数据挖掘（邮政编码）、Strava 健身路线 OSINT、Google 地图照片验证、DNS 侦察、档案研究、Google dorking（TBS 图像过滤器）、Telegram 机器人、FEC 文件、WHOIS 调查、音乐主题地标地理定位及密钥编码、Shodan SSH 指纹去匿名化、游戏平台 OSINT（魔兽世界/Steam/Minecraft 角色查询）、通过 nmap 指纹检测伪服务横幅、git 提交作者邮箱挖掘用于凭证横向、通过 python-dsstore 枚举 .DS_Store 目录、TTF 字形轮廓差异用于混淆 CAPTCHA、跨挑战 Docker 容器 IP 重用 | | **ctf-malware** | 3 | 混淆脚本、C2 流量、自定义加密协议、.NET 恶意软件、PyInstaller 解包、PE 分析、沙箱逃避、反分析（虚拟机检测、时间逃避、API 哈希、进程注入）、动态分析（strace/ltrace、网络监控、内存提取）、YARA 规则、shellcode 分析、内存取证（Volatility malfind、进程注入）、Poison Ivy RAT Camellia 解密、DarkComet RAT 取证（键盘记录日志恢复、注册表持久化）、Cobalt Strike beacon 分析（可塑 C2 检测、dissect.cobaltstrike 配置提取）、木马化插件自定义字母表 C2 解码、ARP 欺骗 + TCP RST 注入捕获 IRC C2 凭证 | | **ctf-misc** | 12 | Pyjails（func_globals 模块链、受限字符集数字生成、类属性持久化、名称混淆 + func_code.co_consts + __doc__ 属性访问、通过存储的 eval 进行 f-string 配置注入）、bash jails、编码（RTF 自定义标签提取、SMS PDU 解码、RFC4042 UTF-9、像素颜色二进制编码、TOPKEK 二进制编码、MaxiCode 二维条码解码、DTMF 音频 + 多击 T9 手机键盘、音乐音符间隔隐写）、RF/SDR、DNS 利用（+ 轮询 A 记录枚举）、Unicode 隐写、浮点技巧、博弈论、承诺方案、WASM、K8s、自定义汇编沙箱逃逸、Lua 沙箱逃逸（函数名注入、表索引绕过）、通过 TracePoint.trace 的 Ruby 沙箱逃逸、cookie 检查点、Flask cookie 泄露、WebSocket 游戏操控、Whitespace esolang、Docker 组权限提升、De Bruijn 序列、Brainfuck 插装、WASM 线性内存操作、quine 上下文检测、repunit 分解、索引目录二维码重组、多阶段 URL 编码链、Python marshal 代码注入、本福德定律绕过、sudo 通配符 fnmatch 注入、精心制作的 pcap sudoers.d、monit 进程注入、Apache -d 覆盖、备份 cronjob SUID、PostgreSQL COPY TO PROGRAM、PostgreSQL 备份凭证提取、NFS 共享利用、SSH Unix 套接字隧道、PaperCut Print Deploy 权限提升、Squid 代理跳转、Zabbix 管理员密码重置、WinSSHTerm 凭证解密、Piet/Malbolge 迷幻语言链、多编码顺序求解器、并行连接 oracle 中继、nonogram 到二维码流水线、100 囚犯循环跟踪策略、通过表情符号标识符 + add-eax gadget 嵌入的 C 代码 jail 逃逸、模拟器 ROM 切换状态保存、BuildKit 守护进程构建秘密利用、十六进制数独 + 二维码组装、Z3 布尔门网络 SAT 求解产品密钥、HISTFILE 受限 shell 文件读取、Levenshtein 距离 oracle 攻击、Docker 容器逃逸（特权突破、套接字逃逸、CAP_SYS_ADMIN cgroup release_agent）、SECCOMP 高位文件描述符绕过、通过 python3 的 rvim jail 逃逸、bash $'...' 八进制编码 + 环境变量子串 jail 绕过、15 拼图可解性位编码器、DNS 迷宫遍历、Python eval() 元组注入 jail 逃逸、自定义语言中的污点分析类型强制绕过、碎纸文件像素边缘重组、CTFd 平台 API 导航（无浏览器挑战列表、flag 提交、文件下载、排行榜、Python 客户端）、受限 vim 通过 `K`（man）逃逸到 `:!sh`、像素采样 BFS 迷宫自动求解器、受限 vim 通过 CTRL-W F netrw 文件浏览器逃逸、dir() 属性查找 jail 逃逸绕过 __class__ 黑名单、base65536 CJK Unicode 二进制编码、通过 rbash 允许的变量设置的 LD_PRELOAD 钩子、/dev/tcp 从最小命令集外泄、逐层仅 echo 的 bash 逃逸、sudo `file -m` 魔术文件目录遍历、XSLT 作为图灵完备虚拟机进行二分查找、JavaScript MAX_SAFE_INTEGER 后继相等绕过、仅比较 DSL 中的二分查找 oracle、通过脚本引擎超时错误的盲 SQLi、OEIS 序列查找自动化、基于格式字符串结构约束的二维码重组、用于斐波那契类递推的矩阵幂运算、用于青蛙跳计数的 Tribonacci、Selenium + Tesseract 动态 CAPTCHA 求解器、Brainfuck→Piet 多层多语言、bytebeat 合成代码识别、CVE-2018-19788 polkit UID 整数溢出 → systemctl RCE、Ruby Array#unpack CVE-2018-8778 缓冲区下读、二进制网格文本转二维码图像 + XOR 密钥、通过 vim 的 sudo glob 路径 + 符号链接混淆代理、FileChecker 上的 TOCTOU 符号链接交换竞态、TCP Fast Open SYN 负载命令注入、带 \r 截断的关闭标准输出 jail（exec > /dev/tty + cat -A） | | **solve-challenge** | 0 | 协调者技能 — 分析挑战并委派给分类技能 | | **ctf-writeup** | 0 | 生成带有元数据、解决步骤、代码和经验教训的标准化提交风格 writeup | ## 使用方法 技能会根据上下文自动加载。你也可以直接调用协调器： /solve-challenge <挑战描述或 URL> ## 贡献 有关开发环境搭建和贡献指南，请参见 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 许可证 MIT

标签：Agent Skills, AI辅助安全, Claude Code, Cutter, Friday Studio, GNU通用公共许可证, Linux工具集, MITM代理, Node.js, npx, Web安全, 中文翻译, 二进制漏洞利用, 云资产清单, 密码学, 工作流自动化, 手动系统调用, 技能插件, 数字取证, 本地运行, 网络安全, 自动化脚本, 蓝队分析, 逆向工具, 逆向工程, 隐私保护