首先是最近的一次比赛[VNCTF 2021]Ez_game。
题目目标很明确,通关即可获取flag。页面游戏都是由JS文件写的,这就涉及JS审计的问题。
一般第一步就是打开调试器查看当前的JS文件来审计,比如ctrl+F在文件中搜索关键字。
常见关键字有:alert(一般通关是以弹窗框显示)、flag(比赛常见的头)、比赛常见的flag头(比如V&Nctf中的VN)、{、}、win(通关的标志、同类的比如pass、end、level)、player、play(游戏者的一些数据)
首先选择查看alret,发现并没有显示,所以应该不是以弹窗显示。搜索VN也没有(一般来说flag信息都是会被某种加密方式加密)。
接下来选择win搜索,发现一个参数。
看上去是一个正常的的参数,但是一个很值得思考的问题是。字面意思:胜利的时间。翻译出来其实应该有所发现,胜利还有时间?如果设一个值,达到那个值之后就能获胜了吗?也许这是一个突破点,可以看一下Timer类的参数。
在gameEngline.js中查找Timer类,发现一个参数——endTime!我们尝试在控制台一下修改值!
成功了!
接下来可以尝试一下新的姿势!
可以从这里发现flag是直接在页面中显示的,我们其实可以尝试找一下页面信息(比如paused、Game Over等)是从哪个函数显示的。这里可以尝试调试一下进程。
可以看出来信息的打印是在PostRender函数执行过后显示的!搜索一下该函数并查看。
在观察完该函数代码之后观察到一个非常长的、很可疑的字符串。尝试在控制台执行一下:
好家伙,直接出现flag信息,也可以看到一些之前会出现的paused之类的提示信息。
注意,需要执行的话需要去掉执行括号。
当然,还有外挂般的存在,直接修改参数。
显然这是游戏的参数类,只要看一下哪个参数实例化了这个类就可以通过控制台来修改游戏参数啦!
魔改参数成功,那接下来可以好好体验一下开挂的感受了嘿嘿。还有其他的外挂姿势就不一一演示了。
与其说是JS审计,更不如说是找参数,与代码审计一般找函数有一定的区别(因为一般这种JS审计都是签到题)
说到JS审计,杭电HgameCTF的web-week1的题目中也有一道类似的题目。
因为环境已经关闭了,只能通过wp上的信息来讲解。总的思路还是找参数。
先放上官方wp
其实这道题的思路和之前说的第二种解题方式类似,都是找游戏结束或者一些状态时的提示信息。
既然说2000分通过,所以这道题也可以通过搜索2000,或者相近的1999,如上图所示,也可以找到提示。或者说直接先搜索alert或者是gameover,也可以发现提示。
找到之后显然是一个base64编码,解码即可。
还有一道比较简单的JS题目。攻防世界web新手题的simple_js。
看到题目名字,打开直接查看调试器。一看就发现了可疑的长串字符。
直接转码
\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31
提示是charcode,尝试转换为十进制,并转换为ASCII码相对应的字符.转换的字符就是flag。
总的来说,JS审计最关键的就是找参数和可疑的长串字符编码。
总结一下一般方法:
1.找参数或者说是关键字
2.找通关条件并定位所在函数
3.找可疑的字符串(编码后的)
通过JS审计可以窥探代码审计的模式-找危险函数。
因为一般来说代码量是比较可观的,而且会和其他的漏洞比如sql注入、文件上传、文件包含等等相结合,所以还是存在一定的难度。
下面分享其他大牛对于代码审计的思路:
代码审计思路讨论
关于PHP代码审计和漏洞挖掘的一点思考
但这些都是比较简单的小游戏题目,难的题目也蛮丧心病狂的,谨慎食用!
希望让大家对于审计有更好的思路!
7249
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
