Daily AlpacaHack

毎日1問、CTFの問題を腕試しできる常設チャレンジ

Daily AlpacaHack とは

初心者に楽しんでもらえるようなシンプルな問題・教育的問題を毎日1問出題します。

いつでも参加可能

出題から24時間以内に解くとリーダーボードに反映されます。

競技ではありません

友人やAIと話し合いながら解いてもOKです（アカウント共有は禁止です）。

解法共有のルール

出題から24時間後に解法の公開・閲覧ができます。

Solves 統計

/147 問

まだ正解した問題がありません。

プレイヤー統計を閲覧するには Sign In してください

今日のチャレンジ

提出（最新3件）

SOLVED!

Apr 25, 7:17 PM

toomer

SOLVED!

Apr 25, 7:10 PM

bsvac

SOLVED!

Apr 25, 6:55 PM

リーダーボード

期間

最初の問題に挑戦しよう

CTF は初めてですか？まずは Daily AlpacaHack で最初に出題された問題を解いてみましょう

これから公開予定の問題は「」「」「」を先出ししています。

前の月

2026年1月

次の月

解答済み

未解答

公開予定

月

火

水

木

金

土

日

kanon

one-p-rsa

Crypto

Easy🔰

238 solves

soon-haari

RBG

Crypto

Very Hard

125 solves

admin

108

Misc

Easy🔰

300 solves

admin

Happy New Year

Misc

Welcome🔰

573 solves

kanon

super-tomato

Crypto

Easy🔰

396 solves

hiikunz

Ruby Flag Checker

Rev

Easy🔰

293 solves

minaminao

Fushigi Crawler

Web

Easy🔰

351 solves

kurenaif

Encoding Basics

Crypto

Misc

Easy🔰

324 solves

minaminao

jailiaj

Misc

Easy🔰

284 solves

hiikunz

Square RSA

Crypto

Medium

239 solves

ark

secret-table

Web

Medium

275 solves

hiikunz

SwapSwap

Misc

Easy🔰

293 solves

theoremoon

RSA2026

Crypto

Medium

213 solves

keymoon

crazython

Rev

Medium

191 solves

hiikunz

Basic Buffer Overflow

Pwn

Medium

188 solves

tchen

I wanna be the Admin

Web

Easy🔰

287 solves

ark

free-comment

Misc

Hard

152 solves

hiikunz

Five Alpacas

Crypto

Easy🔰

201 solves

k0080

Short Writer

Pwn

Hard

125 solves

minaminao

Base Length

Misc

Medium

157 solves

hiikunz

dice roll

Web

Medium

203 solves

chocorusk

ChaChaCha

Crypto

Medium

160 solves

k0080

system-v

Rev

Hard

119 solves

ark

dockerstack

Misc

Easy🔰

182 solves

hiikunz

Animal Viewer

Web

Medium

156 solves

minaminao

Bashrunner

Misc

Hard

122 solves

yu212

Paca Paca Authenticator

Crypto

Medium

131 solves

tchen

Stateless Auth

Web

Medium

171 solves

keymoon

git gc

Misc

Medium

158 solves

chocorusk

ToyPQC

Crypto

Hard

109 solves

tchen

No JS

Web

Medium

135 solves

k0080

shellcode-101

Pwn

Medium

141 solves

yu212

Linear Coffee Generator

Crypto

Hard

116 solves

ark

optimal-sort

Misc

Hard

105 solves

admin

Camelidae

Misc

Welcome🔰

397 solves

もっと高難易度の問題を解きたい方へ

B-SIDE を見る

Writeups

Daily AlpacaHackに挑戦するつくよみちゃん 04/25 crypto/multi-xor/shiro tsukuyomi-chan ja multi-xor 1 hour ago
Writeup for multi-xor tadanobutubutu ja multi-xor 1 hour ago
Writeup for multi-xor goroshirow ja multi-xor 2 hours ago
Writeup for Daily AlpacaHack 4/19-4/25 kakur41 author ja Image Python +6 4 hours ago
Writeup for Daily AlpacaHack 1/12, 1/16, 1/29, 2/10, 2/14, 2/18, 2/22, 3/12, 3/20, 3/22, 4/6, 4/11 figaro-san ja simple ROP +11 7 hours ago
Writeup for Daily AlpacaHack 4/12-4/18 kakur41 ja strange filename +6 11 hours ago
Writeup for Camelid Match 02loveslollipop en Camelid Match yesterday
Writeup for Image Python baumroll1234 ja Image Python yesterday
Writeup for Image Python nozokare ja Image Python yesterday
Writeup for Image Python paulayground ko Image Python yesterday

Rows:

Small Image Uploader

Topic: Client-SideReleased: Apr 26, 2026

17 solves

Web

Hard

Author:

tchen

ちっちぇえ画像でXSSとな！？

Beginner Hint1: Admin Botについて

この問題では、Webアプリ本体とは別に Admin Bot が用意されています。
Admin Bot はフラグ入りのCookieを持った状態で、指定されたパスを Headless Chrome で開きます。
そのため、目標は「Admin Bot に自分の用意したペイロードを踏ませて、Cookieの内容を外部へ送らせること」です。
送信先は自分でサーバーを立ててもよいですし、HTTPリクエストを受け取って確認できる既存サービスを使っても構いません。
Admin Bot の使い方や、外部から受信したリクエストの確認方法がまだ曖昧なら、先に Fushigi Crawler を解いてWriteupを読むことをおすすめします。

Beginner Hint2: 問題の概要

POST /api/upload を使うと、サーバーにファイルをアップロードできます。試しに配布物に含まれているサンプルファイルをアップロードしてみてください。
/file ではアップロードしたファイルを閲覧できます。ここでは GET /api/file/<file_id> でファイルの内容を取得し、GET /api/filename/<file_id> で元のファイル名を取得しています。

Beginner Hint3: この問題のアプローチ

original_filename は html.escape でエスケープされているように見えます。これは /api/filename/<file_id> が返す値が、innerHTML を使ってそのまま HTML に挿入されているためです。
- つまり、ファイル名そのものに悪意のある文字列を含めることではXSSを引き起こすことは難しそうです。
代わりに、/file の中で file_id がどのように使われているかをよく見て、それをどう悪用できるか考えてみてください。

small-image-uploader.tar.gz

description solves