0xBOverchunked
CTF

0xBOverchunked

Inyección de código SQL de tipo Boolean-based. Transfer-Encoding chunked
A little something to get you started
CTF

A little something to get you started

Código fuente de página web
AbuseHumanDB
CTF

AbuseHumanDB

Cross-Site Search. Exfiltración evitando Same-Origin Policy
Almost SSTI
CTF

Almost SSTI

ImaginaryCTF 13/07/2022. 50 puntos. Server-Side Template Injection. Consola de Flask
Amidst Us
CTF

Amidst Us

Python. Dependencias de terceros. Inyección de código. RCE
baby auth
CTF

baby auth

Cookies de sesión. Bypass the autenticación
baby BoneChewerCon
CTF

baby BoneChewerCon

PHP. Depurador de Laravel
baby breaking grad
CTF

baby breaking grad

JavaScript. Prototype Pollution
baby CachedView
CTF

baby CachedView

SSRF mediante iframe
baby interdimensional internet
CTF

baby interdimensional internet

Inyección de código. Lectura de archivo remoto
baby nginxatsu
CTF

baby nginxatsu

nginx. Listado de directorios
baby ninja jinja
CTF

baby ninja jinja

SSTI con caracteres limitados
baby todo or not todo
CTF

baby todo or not todo

Broken Access Control
baby WAFfles order
CTF

baby WAFfles order

Inyección de Entidades Externas XML
baby website rick
CTF

baby website rick

Deserialización insegura en pickle
Bad JWT
CTF

Bad JWT

SECCON CTF Quals 2023. Node.js. JWT. Prototype Pollution
BatchCraft Potions
CTF

BatchCraft Potions

Ataque de GraphQL batching. Bypass de OTP y límite de peticiones. JWT. CSP. DOM Clobbering. XSS
BatchCraft Potions
CTF

BatchCraft Potions

HTB UniCTF 2022. Ataque de GraphQL batching. Bypass de OTP y límite de peticiones. JWT. CSP. DOM Clobbering. XSS
BlinkerFluids
CTF

BlinkerFluids

Node.js. Dependencias de terceros. Inyección de código. RCE
Breaking Bank
CTF

Breaking Bank

Open Redirect. JWKS y falsificación de JWT. Bypass de OTP
Breaking Bank
CTF

Breaking Bank

HTB UniCTF 2024. Open Redirect. JWKS y falsificación de JWT. Bypass de OTP
CandyVault
CTF

CandyVault

MongoDB. Inyección NoSQL
Cookies
CTF

Cookies

picoCTF 2021. 40 puntos. Modificar cookies
CurlAsAService
CTF

CurlAsAService

Inyección de parámetros. Lectura de archivos locales
Cursed Secret Party
CTF

Cursed Secret Party

XSS. Bypass de CSP
Cursed Secret Party
CTF

Cursed Secret Party

XSS. Bypass de CSP
Didactic Octo Paddles
CTF

Didactic Octo Paddles

JWT. Server-Side Template Injection
Didactic Octo Paddles
CTF

Didactic Octo Paddles

HTB CA 2023. JWT. Server-Side Template Injection
Don't Bump Your Head(er)
CTF

Don't Bump Your Head(er)

HTTP request headers
E.Tree
CTF

E.Tree

Inyección XPATH. Extracción de la flag automatizada
emoji voting
CTF

emoji voting

Boolean-based SQLi en ORDER. Extracción de la flag automatizada
Evaluation Deck
CTF

Evaluation Deck

Python. Inyección de código
ExpressionalRebel
CTF

ExpressionalRebel

Server-Side Request Forgery. Denegación de Servicio mediante expresiones regulares
Fasting
CTF

Fasting

ImaginaryCTF 28/09/2022. 50 puntos. Documentación de API
Flag Command
CTF

Flag Command

API. Herramientas de desarrollador
Full Stack Conf
CTF

Full Stack Conf

Cross-Site Scripting
funnylogin
CTF

funnylogin

DiceCTF 2024 Quals. SQLi. Atributos de objetos en JavaScript
GET aHEAD
CTF

GET aHEAD

picoCTF 2021. 20 puntos. Método HEAD
GhostlyTemplates
CTF

GhostlyTemplates

Go. Server-Side Template Injection. Lectura de archivos locales
Gobustme 👻
CTF

Gobustme 👻

Fuzzing de rutas
Guglu v2
CTF

Guglu v2

HackOn CTF 2024. Exfiltración de datos mediante oráculo
Gunship
CTF

Gunship

Prototype Pollution. AST Injection
HauntMart
CTF

HauntMart

Server-Side Request Forgery. Bypass de dirección IP
Horror Feeds
CTF

Horror Feeds

Inyección de código SQL (Stack-based)
Horror Feeds
CTF

Horror Feeds

Inyección de código SQL (Stack-based)
HTBank
CTF

HTBank

HTTP Parameter Pollution
Insp3ct0r
CTF

Insp3ct0r

picoCTF 2019. 50 points. HTML, CSS y JS
Intergalactic Post
CTF

Intergalactic Post

SQLi en SQLite hacia RCE en PHP
jscalc
CTF

jscalc

JavaScript. Inyección de código
Juggling facts
CTF

Juggling facts

PHP. Type Juggling
Juggling Facts
CTF

Juggling Facts

PHP. Type Juggling
KORP Terminal
CTF

KORP Terminal

Inyección de código SQL. Descifrado de hashes de contraseñas
Kryptos Support
CTF

Kryptos Support

Cross-Site Scripting. Insecure Direct Object Reference
Lazy Ballot
CTF

Lazy Ballot

CouchDB. Inyección NoSQL. Bypass de autenticación
Letter Dispair
CTF

Letter Dispair

PHP. Ejecución remota de comandos. PHPMailer (CVE)
Login Please
CTF

Login Please

ImaginaryCTF 12/09/2022. 75 puntos. Hash MD5. Prototype Pollution
looking glass
CTF

looking glass

Inyección de comandos. Ejecución remota de comandos
LoveTok
CTF

LoveTok

PHP. Inyección de código. Ejecución remota de comandos
Micro-CMS v1
CTF

Micro-CMS v1

Pentesting web básico. XSS, IDOR, SQLi
Model E1337 - Rolling Code Lock
CTF

Model E1337 - Rolling Code Lock

Explotación web y criptoanálisis avanzado. XXE. Ingeniería inversa
Mutation Lab
CTF

Mutation Lab

Lectura de archivos mediante imágenes SVG. Falsificación de cookies de sesión
Neonify
CTF

Neonify

Inyección de CRLF. Bypass de expresión regular. Server-Side Template Injection
One Time Pages
CTF

One Time Pages

HackOn CTF 2025. XSS. Service Worker. Tabnabbing
OnlyHacks
CTF

OnlyHacks

Cross-Site Scripting. Cookie hijacking
Orbital
CTF

Orbital

Inyección de código SQL. Navegación de directorios. Lectura de archivos locales
Orbital
CTF

Orbital

HTB CA 2023. Inyección de código SQL. Navegación de directorios. Lectura de archivos locales
Passman
CTF

Passman

GraphQL. IDOR
Passman
CTF

Passman

HTB CA 2023. GraphQL. IDOR
Percetron
CTF

Percetron

HTB CA 2024. HA-Proxy. HTTP request smuggling mediante WebSocket. Server-Side Request Forgery. MongoDB Wire Protocol. Protocolo Gopher. Inyección Cypher (neo4j). Inyección de comandos. RCE
Percetron
CTF

Percetron

HTB CA 2024. HA-Proxy. HTTP request smuggling. Server-Side Request Forgery. MongoDB Wire Protocol. Protocolo Gopher. Inyección Cypher (neo4j). Inyección de comandos. RCE
POST Practice
CTF

POST Practice

Petición POST HTTP
ProxyAsAService
CTF

ProxyAsAService

Server-Side Request Forgery. Bypass de localhost. HTTP Request URI
Public Pages
CTF

Public Pages

HackOn CTF 2025. SvelteKit. Modo desarrollo. Inyección de wildcard en SQL
PumpkinSpice
CTF

PumpkinSpice

Cross-Site Request Forgery. Ejecución remota de comandos
Red Island
CTF

Red Island

SSRF. Navegación de directorios. Protocolo Gopher. RCE en Redis
Robotic
CTF

Robotic

ImaginaryCTF 04/11/2022. 50 puntos. robots.txt
sanitize
CTF

sanitize

Inyección de código SQL. Bypass de autenticación
Saturn
CTF

Saturn

Server-Side Request Forgery. TOCTOU
Secure
CTF

Secure

ImaginaryCTF 08/11/2022. 50 puntos. Certificado de HTTPs
Situated
CTF

Situated

ImaginaryCTF 03/11/2022. 50 puntos. Inspección de código HTML
Slippy
CTF

Slippy

Navegación de directorios con TAR. Server-Side Template Injection
Spellbound Servants
CTF

Spellbound Servants

Deserialización insegura en pickle
Spiky Tamagotchi
CTF

Spiky Tamagotchi

Bypass de autenticación. Inyección de código JavaScript
Spookifier
CTF

Spookifier

Server-Side Template Injection
Spookifier
CTF

Spookifier

Server-Side Template Injection
SpookTastic
CTF

SpookTastic

Cross-Site Scripting
Spybug
CTF

Spybug

Carga de archivos maliciosos. SSTI a XSS. Bypass de CSP
SpyBug
CTF

SpyBug

HTB CA 2023. Carga de archivos maliciosos. SSTI a XSS. Bypass de CSP
Templated
CTF

Templated

Flask. Server-Side Template Injection. RCE
Testimonial
CTF

Testimonial

Go. gRPC. Verificación en el lado cliente. Navegación de directorios. Escritura de archivos arbitrarios. Server-side Rendering
Testimonial
CTF

Testimonial

HTB CA 2024. Go. gRPC. Verificación en el lado cliente. Navegación de directorios. Escritura de archivos arbitrarios. Server-side Rendering
The Magic Informer
CTF

The Magic Informer

Navegación de directorios. Lectura de archivos locales. JWT. Broken Access Control. SSRF. Inyección de comandos. RCE
The Magic Informer
CTF

The Magic Informer

HTB UniCTF 2022. Navegación de directorios. Lectura de archivos locales. JWT. Broken Access Control. SSRF. Inyección de comandos. RCE
TimeKORP
CTF

TimeKORP

Inyección de comandos
Toxic
CTF

Toxic

Deserialización de PHP. Inclusión de Archivos Locales. Envenenamiento de Logs
Trapped Source
CTF

Trapped Source

Inspección de código HTML
TrapTrack
CTF

TrapTrack

Deserialización insegura en pickle. SSRF en Redis
TrapTrack
CTF

TrapTrack

HTB CA 2023. Deserialización insegura en pickle. SSRF en Redis
Userland City
CTF

Userland City

PHP. Exploit de Laravel
wafwaf
CTF

wafwaf

PHP. Inyección de código SQL basada en tiempo. Bypass de WAF
Watersnake
CTF

Watersnake

Java. CVE. Deserialización insegura en SnakeYAML
where are the robots
CTF

where are the robots

picoCTF 2019. 100 points. robots.txt
Wild Goose Hunt
CTF

Wild Goose Hunt

MongoDB. Inyección NoSQL. Extracción de la flag automatizada