<- RETOS DE HTB

Web - Total: 67

jscalc
CTF

jscalc

JavaScript. Inyección de código
OnlyHacks
CTF

OnlyHacks

Cross-Site Scripting. Cookie hijacking
Breaking Bank
CTF

Breaking Bank

Open Redirect. JWKS y falsificación de JWT. Bypass de OTP
ProxyAsAService
CTF

ProxyAsAService

Server-Side Request Forgery. Bypass de localhost. HTTP Request URI
Neonify
CTF

Neonify

Inyección de CRLF. Bypass de expresión regular. Server-Side Template Injection
TimeKORP
CTF

TimeKORP

Inyección de comandos
KORP Terminal
CTF

KORP Terminal

Inyección de código SQL. Descifrado de hashes de contraseñas
Flag Command
CTF

Flag Command

API. Herramientas de desarrollador
wafwaf
CTF

wafwaf

PHP. Inyección de código SQL basada en tiempo. Bypass de WAF
GhostlyTemplates
CTF

GhostlyTemplates

Go. Server-Side Template Injection. Lectura de archivos locales
PumpkinSpice
CTF

PumpkinSpice

Cross-Site Request Forgery. Ejecución remota de comandos
Spellbound Servants
CTF

Spellbound Servants

Deserialización insegura en pickle
LoveTok
CTF

LoveTok

PHP. Inyección de código. Ejecución remota de comandos
HauntMart
CTF

HauntMart

Server-Side Request Forgery. Bypass de dirección IP
CandyVault
CTF

CandyVault

MongoDB. Inyección NoSQL
SpookTastic
CTF

SpookTastic

Cross-Site Scripting
0xBOverchunked
CTF

0xBOverchunked

Inyección de código SQL de tipo Boolean-based. Transfer-Encoding chunked
Saturn
CTF

Saturn

Server-Side Request Forgery. TOCTOU
HTBank
CTF

HTBank

HTTP Parameter Pollution
Percetron
CTF

Percetron

HTB CA 2024. HA-Proxy. HTTP request smuggling mediante WebSocket. Server-Side Request Forgery. MongoDB Wire Protocol. Protocolo Gopher. Inyección Cypher (neo4j). Inyección de comandos. RCE
Testimonial
CTF

Testimonial

Go. gRPC. Verificación en el lado cliente. Navegación de directorios. Escritura de archivos arbitrarios. Server-side Rendering
emoji voting
CTF

emoji voting

Boolean-based SQLi en ORDER. Extracción de la flag automatizada
E.Tree
CTF

E.Tree

Inyección XPATH. Extracción de la flag automatizada
Wild Goose Hunt
CTF

Wild Goose Hunt

MongoDB. Inyección NoSQL. Extracción de la flag automatizada
Watersnake
CTF

Watersnake

Java. CVE. Deserialización insegura en SnakeYAML
Lazy Ballot
CTF

Lazy Ballot

CouchDB. Inyección NoSQL. Bypass de autenticación
Toxic
CTF

Toxic

Deserialización de PHP. Inclusión de Archivos Locales. Envenenamiento de Logs
CurlAsAService
CTF

CurlAsAService

Inyección de parámetros. Lectura de archivos locales
Templated
CTF

Templated

Flask. Server-Side Template Injection. RCE
Trapped Source
CTF

Trapped Source

Inspección de código HTML
AbuseHumanDB
CTF

AbuseHumanDB

Cross-Site Search. Exfiltración evitando Same-Origin Policy
ExpressionalRebel
CTF

ExpressionalRebel

Server-Side Request Forgery. Denegación de Servicio mediante expresiones regulares
TrapTrack
CTF

TrapTrack

Deserialización insegura en pickle. SSRF en Redis
Spybug
CTF

Spybug

Carga de archivos maliciosos. SSTI a XSS. Bypass de CSP
Didactic Octo Paddles
CTF

Didactic Octo Paddles

JWT. Server-Side Template Injection
Orbital
CTF

Orbital

Inyección de código SQL. Navegación de directorios. Lectura de archivos locales
Passman
CTF

Passman

GraphQL. IDOR
Kryptos Support
CTF

Kryptos Support

Cross-Site Scripting. Insecure Direct Object Reference
baby breaking grad
CTF

baby breaking grad

JavaScript. Prototype Pollution
baby website rick
CTF

baby website rick

Deserialización insegura en pickle
baby todo or not todo
CTF

baby todo or not todo

Broken Access Control
BatchCraft Potions
CTF

BatchCraft Potions

Ataque de GraphQL batching. Bypass de OTP y límite de peticiones. JWT. CSP. DOM Clobbering. XSS
The Magic Informer
CTF

The Magic Informer

Navegación de directorios. Lectura de archivos locales. JWT. Broken Access Control. SSRF. Inyección de comandos. RCE
baby WAFfles order
CTF

baby WAFfles order

Inyección de Entidades Externas XML
Cursed Secret Party
CTF

Cursed Secret Party

XSS. Bypass de CSP
Juggling facts
CTF

Juggling facts

PHP. Type Juggling
Horror Feeds
CTF

Horror Feeds

Inyección de código SQL (Stack-based)
Spookifier
CTF

Spookifier

Server-Side Template Injection
baby nginxatsu
CTF

baby nginxatsu

nginx. Listado de directorios
Userland City
CTF

Userland City

PHP. Exploit de Laravel
baby BoneChewerCon
CTF

baby BoneChewerCon

PHP. Depurador de Laravel
Letter Dispair
CTF

Letter Dispair

PHP. Ejecución remota de comandos. PHPMailer (CVE)
baby interdimensional internet
CTF

baby interdimensional internet

Inyección de código. Lectura de archivo remoto
Spiky Tamagotchi
CTF

Spiky Tamagotchi

Bypass de autenticación. Inyección de código JavaScript
Intergalactic Post
CTF

Intergalactic Post

SQLi en SQLite hacia RCE en PHP
Red Island
CTF

Red Island

SSRF. Navegación de directorios. Protocolo Gopher. RCE en Redis
Mutation Lab
CTF

Mutation Lab

Lectura de archivos mediante imágenes SVG. Falsificación de cookies de sesión
Amidst Us
CTF

Amidst Us

Python. Dependencias de terceros. Inyección de código. RCE
BlinkerFluids
CTF

BlinkerFluids

Node.js. Dependencias de terceros. Inyección de código. RCE
baby ninja jinja
CTF

baby ninja jinja

SSTI con caracteres limitados
baby CachedView
CTF

baby CachedView

SSRF mediante iframe
sanitize
CTF

sanitize

Inyección de código SQL. Bypass de autenticación
baby auth
CTF

baby auth

Cookies de sesión. Bypass the autenticación
Full Stack Conf
CTF

Full Stack Conf

Cross-Site Scripting
looking glass
CTF

looking glass

Inyección de comandos. Ejecución remota de comandos
Gunship
CTF

Gunship

Prototype Pollution. AST Injection
Slippy
CTF

Slippy

Navegación de directorios con TAR. Server-Side Template Injection