XCTF攻防世界练习区-web题-simple_js

最新推荐文章于 2024-05-23 14:45:00 发布
最新推荐文章于 2024-05-23 14:45:00 发布
阅读量2k 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Homewm/article/details/101273751
版权
本文介绍了如何解决XCTF攻防世界中的一道web题目,涉及理解JavaScript代码、查看源码及构造Python脚本来解密密码。通过F12查看源码,发现函数未使用传入参数,通过修改源码并重新加载,得到部分提示。最终通过编写脚本解析,得出正确Flag:Cyberpeace{786OsErtk12},但为何源码修改后缺失一个数字2仍是个谜。
摘要由CSDN通过智能技术生成

0x07 simple js

【题目描述】

小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )

【目标】

掌握有关js的知识。查看页面源码,了解js和读懂代码。

【解题思路】

F12查看网页源代码,找到index文件,仔细阅读js代码。(或者view-source:命令)

先输入一个password厂商一下返回的结果。

查看源码,读懂源码,发现函数并没有使用传入的参数的值。接下来的做法就是将参数pass_enc传入的值替换为pass值,然后保存源码后进行重新打开,点击提交,就获得了alert的值。

 

(Flag格式为 Cyberpeace{xxxxxxxxx} )

尝试一下构造flag输入,发现还是错误的。很生气,刚开始使用的是火狐做的,发现不行,然后

最低0.47元/天 解锁文章
不愿透露姓名的菜鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-simple_transfer
peng_xingang的博客
11-29 5457
打开目,下载附件,发现是一个pcap文件。 话不多说,放到wireshark里面追踪流量。 搜索flag,发现前面很多很多的TCP协议,但是追踪进去没啥东西。 这里选择统计->协议分级,看哪些协议的数据占比多。 找到一个占比94%的协议DLEP,那么就直接选中这个协议,右键作为过滤器应用直接开始搜索。 搜索出来,但是提示unknown message! 没有啥信息没关系,这么大个的unknown message摆在面前,尝试一下分解。 foremost -t...
XCTF-Mobile】新手练习-12.rar
09-01
目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF WEB simple_js
无限迭代中......
07-01 790
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5067 解: F12查看网页源代码,找到index文件,仔细阅读js代码。(或者view-source:命令) 会发现dechiffre返回值与参数pass_enc没有任何关联,返回值是固定的,即不论输入什么都是一样得输出。所以...
[CTF_网络安全] 攻防世界 simple_js详析
最新发布
qingkahui24689的博客
05-23 1804
[CTF_网络安全] 攻防世界 simple_js详析,该考察Javascript代码的解读及不同数值类型的转换姿。我们下次见,
XCTF simple_js
weixin_43982276的博客
10-11 164
XCTF simple_js 这个 应该算自己做了80%以上 但是还是差了一点点 还是对自己不够自信再加上不能很好的读懂网页源码的缘故 发现 这样一串东西之后要敏感 将它放入vs里面 因为感觉到它是我熟悉的ASCII码 于是 然后啊!! 只要将其复制下来转换为字母即可(我就是懒了这一步直接去看的writeup) 得解 ...
XCTFsimple_js
小白渣的博客
09-27 1016
打开之后,直接查看源代码,发现一串JS代码 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.split(','); var tab2 = pass....
XCTF simple js
YenKoc的博客
12-03 307
思路分析: 进入靶场, 随便输入,肯定是错误的,f12看下源码,结合目说js,把js代码单独拿出来看看。 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.split(',')...
XCTF-RE】新手练习-simple-unpack
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
XCTF-RE】新手练习-open-source.c
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-RE】新手练习-maze
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-logmein
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
13、XCTF simple_js
山兔的博客
09-16 148
小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 打开网站就是让我们输密码,那就输呗, 他说我FAUX PASSWORD HAHA, 那应该就是输错了呗。 F12源码,发现了一串代码 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.s
攻防世界-Web-新手练习-simple js
muhkter8的博客
09-17 370
进入场景后出现要求输入密码的界面 经测试发现无论输入什么,结果都如下图所示 右击检查,可以看到javascript代码 用python解析一下pass对应的字符串"70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65" def main(): ch = [70, 65, 85, 88, 32, 80, 65, 83, 83, 87, 79, 82, 68, 32, 72, 65, 72, 65] for i in ...
XCTF_Web_新手练习simple_js(源代码详解)
热门推荐
1stPeak's Blog
06-13 1万+
第二simple_js (源代码详解) 目标: 掌握有关js的知识 Writeup 进入环境后我们遇到了输入密码,于是我们随便输入一个密码,点击确定 之后啥也没有,于是我们看看源代码,哎,有东西,不错呦 <html> <head> <title>JS</title> <script type="text/javascrip...
攻防世界simple_transfer
淡巴枯的博客
10-31 838
目描述:文件里有flag,找到它。同样也得到了含有flag的pdf。
攻防世界 —— Web新手练习12simple js
Catherine_qingzhu的博客
04-05 1133
目描述 从目可以看出来,这是一道考JavaScript的。 首先按F12键调出Console,不输入密码,直接点击“取消”,可以看到控制台报错了。 点击报错信息进入到源代码界面 分析源代码后发现函数dechiffre不管传入参数是什么都会输出"FAUX PASSWORD HAHA",这也就意味着不管你输入什么密码,最后都会提示你"FAUX PASSWORD HAHA"。 ...
【CTF WebXCTF GFSJ0480 simple_js Writeup(JS分析+ASCII码)
HEX9CF的技术博客
05-09 432
小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )
【misc | CTF】攻防世界 simple_transfer
weixin_46301214的博客
02-23 576
查找 .pdf 文件,其实这里思路是比较奇怪的,毕竟是的确比较多内容,慢慢看不现实的。打开就有PDF文件了,但是坑点来了,windows用WPS打开PDF是一片漆黑。拿到流量包,丢进去wireshare,目都说了flag在里面。我思考了一下有可能是吃经验,以后再碰到这种型,要学会举一反三。里面可能是 .pdf .png .txt .jpeg 都有可能。这文件很大的,这逻辑明显是错的离谱,那些人真的是废物。但网上wp也很假,就告诉你在里面寻找,只能用kali自带的PDF软件进行查看。
攻防世界 Misc simple_transfer
MrTreebook的博客
02-26 565
攻防世界 Misc simple_transfer1.binwalk分析2.foremost分解3.flag 1.binwalk分析 binwalk simple_transfer.pcap 发现有一个pdf document 直接想到foremost分解 2.foremost分解 foremost simple_transfer.pcap 目录下会生成一个output文件 打开看一下 打开这个pdf文件看一下 得到flag 3.flag ...
攻防世界pwn新手答案
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲大小时,会覆盖到相邻的内存域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单练习(1-10解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值