hxuu/my-ctf-challenges
GitHub: hxuu/my-ctf-challenges
一个个人 CTF 竞赛挑战题目的集中存档仓库,涵盖多种 Web 安全漏洞场景并提供完整解题文档与攻略。
Stars: 0 | Forks: 0
# my-ctf-challenges
我编写的 CTF 挑战集中存放处。
## bunianCTF
为 Algerian Tech Makers (ATM) - Bunian 社区制作的一系列每周解答(jeopardy-style)风格的挑战。每个挑战都有对应的视频攻略。
| 挑战 | 主题 |
|-----------|-------|
| 1 | Node.js 登录绕过 |
| 2 | Python 越狱逃逸 |
| 3 | Flask IDOR / 个人资料篡改 |
| 4 | Web 服务器文件读取 (LFI / 路径遍历) |
| 5 | SQL 注入 |
| 6 | Boot2Root (权限提升) |
完整的文档和攻略都在该仓库中。上游仓库:[github.com/hxuu/bunianCTF](https://github.com/hxuu/bunianCTF)
## clawtheflag / moodle-cve
一个围绕 CVE-2025-26529 构建的 Web 挑战,通过 WebFinger 协议进行武器化以实现 SSRF。该挑战需要将协议层面的技巧组合成服务端请求伪造来获取 flag。为 ClawTheFlag CTF 制作。
上游仓库:[github.com/hxuu/moodle-cve](https://github.com/hxuu/moodle-cve)
## IngeHack 2k26
来自 IngeHack 2k26 的三个 Web 挑战,均位于 `web/` 目录下。
| 挑战 | 主题 |
|-----------|-------|
| **mithridatum** | 通过 docs.github.com 缓存层进行 GitHub 缓存投毒。队伍名称旨在致敬获胜队伍 Zellij。 |
| **mithridatum-revenge** | 冒名提交攻击 —— 伪造提交者身份以污染 Git 历史。 |
| **rumpelstiltskin** | 通过 `window.open` 以及利用 `window.name` 在导航间持久化的特性,通过共享浏览器上下文进行 Frame 劫持。 |
rumpelstiltskin 的题解:[youtube.com/watch?v=4RRS_EJMUjk](https://www.youtube.com/watch?v=4RRS_EJMUjk)
仓库:[github.com/Ingeniums/IngeHack-2k26-Challenges-Public](https://github.com/Ingeniums/IngeHack-2k26-Challenges-Public)
标签:CISA项目, ffuf, MITM代理, Web安全, Web报告查看器, 安全靶场, 网络安全研究, 蓝队分析, 逆向工具