ctf-misc

Name: ctf-misc
Author: wgpsec/AboutSecurity

$npx mdskill add wgpsec/AboutSecurity/ctf-misc

Solve diverse CTF challenges beyond standard categories.

Handle encoding puzzles, sandbox escapes, and signal processing.
Integrates with specialized references for pyjails, SDR, and Z3.
Decides execution by filtering out pwn, crypto, and web tasks.
Delivers solutions through targeted reference document lookups.

SKILL.md

.github/skills/ctf-miscView on GitHub ↗

---
name: ctf-misc
description: "CTF 杂项挑战技术。当遇到编码谜题、Python/Bash 沙箱逃逸、RF/SDR 信号、游戏/VM 逆向、K8s RBAC、浮点数技巧、Z3 约束求解、博弈论等不属于 pwn/crypto/web/reverse/forensics/osint 的 CTF 挑战时使用。先排除其他分类后再使用本技能"
metadata:
  tags: "ctf,misc,杂项,pyjail,bashjail,encoding,sdr,dns,game,z3"
  category: "ctf"
---

# CTF 杂项挑战

## 深入参考

以下参考资料**按需加载**，根据识别出的具体方向选择对应文件：

- Python 沙箱逃逸（受限字符/func_globals链/类属性持久化） → [references/pyjails.md](references/pyjails.md)
- Bash 沙箱/受限Shell逃逸 → [references/bashjails.md](references/bashjails.md)
- 编码与解码（QR/esolang/Verilog/BCD/Gray码/SMS PDU） → [references/encodings.md](references/encodings.md)
- RF/SDR 信号处理（QAM-16/载波恢复/定时同步） → [references/rf-sdr.md](references/rf-sdr.md)
- DNS 利用（ECS欺骗/NSEC遍历/IXFR/重绑定/隧道） → [references/dns.md](references/dns.md)
- 游戏与VM Part1（WASM/Roblox/PyInstaller/K8s/Z3/浮点） → [references/games-and-vms.md](references/games-and-vms.md)
- 游戏与VM Part2（ML权重/WebSocket/Flask/LoRA/De Bruijn） → [references/games-and-vms-2.md](references/games-and-vms-2.md)
- 游戏与VM Part3（memfd/博弈/ROM切换/Benford/BuildKit） → [references/games-and-vms-3.md](references/games-and-vms-3.md)
- Linux 提权（sudo通配符/NFS/SSH隧道/PostgreSQL RCE） → [references/linux-privesc.md](references/linux-privesc.md)
- 高级编码（Verilog HDL/Gray码/Manchester编码/BPF字节码） → [references/encodings-advanced.md](references/encodings-advanced.md)

---

## 分类决策树

```
Misc 题目？
├─ 编码/解码谜题
│  ├─ Base64/Hex/ROT13 → CyberChef 自动检测
│  ├─ QR 码 → zbarimg / 碎片重组
│  ├─ 二进制/莫尔斯/BCD → [references/encodings.md](references/encodings.md)
│  └─ 多层嵌套 → 循环解码直到明文
├─ 沙箱逃逸
│  ├─ Python jail → [references/pyjails.md](references/pyjails.md)
│  │  ├─ 受限字符 → repunit分解 / chr()构造
│  │  ├─ 禁import → __builtins__.__import__
│  │  └─ 受限exec → func_globals链 / MRO遍历
│  └─ Bash jail → [references/bashjails.md](references/bashjails.md)
├─ 游戏/交互
│  ├─ WASM → 内存patch / wasm2wat 修改
│  ├─ WebSocket → 拦截修改消息
│  ├─ 博弈论 → Nim/承诺方案 → [references/games-and-vms-3.md](references/games-and-vms-3.md)
│  └─ ML/AI → 权重扰动 / 碰撞 → [references/games-and-vms-2.md](references/games-and-vms-2.md)
├─ DNS → [references/dns.md](references/dns.md)
├─ RF/SDR → [references/rf-sdr.md](references/rf-sdr.md)
└─ Linux 提权 → [references/linux-privesc.md](references/linux-privesc.md)
```

## 通用技巧

```bash
# 文件识别
file mystery && xxd mystery | head
binwalk -e mystery

# 编码检测
echo "data" | base64 -d
python3 -c "import base64; print(base64.b85decode(b'...'))"

# Z3 约束求解
python3 -c "
from z3 import *
x = BitVec('x', 32)
s = Solver()
s.add(x * 0x1337 == 0xdeadbeef)
s.check(); print(s.model())
"
```

## Python Jail 速查

| 技术 | 场景 |
|------|------|
| `__builtins__.__import__` | import 被禁 |
| `().__class__.__bases__[0].__subclasses__()` | 获取所有子类 |
| `chr()` + `eval()` 构造 | 字符被限制 |
| `breakpoint()` → `os.system()` | Python 3.7+ |

## 编码速查

| 编码 | 特征 |
|------|------|
| Base64 | `A-Za-z0-9+/=` 结尾 |
| Base32 | `A-Z2-7=` 大写 |
| Hex | `0-9a-f` 偶数长度 |
| URL编码 | `%XX` 形式 |
| Unicode隐写 | 零宽字符 U+200B/U+200C |

## 多层编码
- 编写脚本 while 循环自动化批量解码，避免手动逐层解

## QR 码修复
- 注意方向：可能需要旋转、翻转、对齐校正
- QR 有纠错/容错机制，部分损坏也能解码

More from wgpsec/AboutSecurity

Skill	Description
401-403-bypass	401/403 访问拒绝绕过方法论。当遇到管理后台、API 端点返回 401/403 Forbidden 时使用。覆盖路径操纵、HTTP 方法篡改、Header 注入、协议降级、组合攻击
ad-acl-abuse	Active Directory ACL 滥用攻击方法论。当 BloodHound 发现 GenericAll/WriteDACL/WriteOwner/GenericWrite/ForceChangePassword 等危险 ACE 时使用。覆盖 ACE 枚举、权限滥用链、Shadow Credentials、RBCD 攻击
ad-delegation-attack	Kerberos 委派攻击（非约束/约束/RBCD）。当 BloodHound 发现委派配置、或已获取有 SPN 的服务账号/机器账号控制权时使用。通过 S4U 协议滥用可实现跨服务模拟任意用户，常用于域内权限提升和横向移动。
ad-domain-attack	Active Directory 域环境攻击全链路。当目标主机在域环境中（systeminfo 显示 Domain 非 WORKGROUP）、发现 88/389/636 端口、或获取到域用户凭据时使用。覆盖域信息收集、用户枚举、Kerberoasting、AS-REP Roasting、委派攻击、ACL 滥用、DCSync、Golden/Silver Ticket
ad-persistence	AD 域环境持久化技术。当已获取域管/本地管理员权限、需要建立持久访问以确保重启或密码更改后仍能回到目标环境时使用。覆盖主机级持久化（计划任务/注册表Run/COM劫持/WMI事件订阅/Windows服务/启动文件夹）、域级持久化（Golden Ticket/Silver Ticket/Skeleton Key/DSRM/AdminSDHolder）、DCShadow/GoldenGMSA高级技术、清理命令与检测规避
ad-trust-attack	域信任关系攻击。当目标存在多域/多林环境时使用。包含父子域提权（Golden Ticket + ExtraSid）、跨林攻击（SID History/MSSQL Trust Links）、单向信任利用。已获取子域 Domain Admin 或发现信任关系时优先加载。
adcs-certipy-attack	Active Directory Certificate Services (ADCS) 证书攻击。当发现域内有 CA 服务器、ADCS Web Enrollment、证书模板配置错误时使用。覆盖 ESC1-ESC11 所有证书滥用路径、Certipy 工具链、证书伪造、NTLM 中继到 ADCS。发现 ADCS/CA/证书/certsrv 相关内容时一定要使用此技能
adinfo-enum	使用 Adinfo 进行 Active Directory 信息收集。当获得域用户凭据后需要快速收集域环境信息时使用。Adinfo 是一个快速 AD 信息收集工具，一条命令输出域控列表、域管用户、信任关系、GPO、SPN、委派配置等关键信息——比手动 LDAP 查询快得多。发现域环境后第一步信息收集使用此技能
agent-security	\|
ai-data-security	\|