2022DASCTF MAY 魔法浏览器

最新推荐文章于 2024-04-21 11:16:34 发布
最新推荐文章于 2024-04-21 11:16:34 发布
阅读量1k 收藏 1
点赞数 3
文章标签: elementui 前端 javascript web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1563361185/article/details/124927104
版权

进入题目

点进去之后看到如下界面

Ctrl+u查看源码,如图;

查看一下代码, 注意到以下信息;

 提示我们让ua变成后面那一串,将后面的js加密算法进行解密,也就是如下的代码,复制写入到记事本中修改文件后缀为html打开;

<script>
var a1="\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x35\x2e\x30 \x28\x57\x69\x6e\x64\x6f\x77\x73 \x4e\x54 \x31\x30\x2e\x30\x3b \x57\x69\x6e\x36\x34\x3b \x78\x36\x34\x29 \x41\x70\x70\x6c\x65\x57\x65\x62\x4b\x69\x74\x2f\x35\x33\x37\x2e\x33\x36 \x28\x4b\x48\x54\x4d\x4c\x2c \x6c\x69\x6b\x65 \x47\x65\x63\x6b\x6f\x29 \x4d\x61\x67\x69\x63\x2f\x31\x30\x30\x2e\x30\x2e\x34\x38\x39\x36\x2e\x37\x35";
function decode() {
document.getElementById('code').value = a1;
}
</script>
<textarea id=code cols=80 rows=20>
</textarea>
<input type=button onclick=decode() value=解码>

得到;

回到原网页中,使用burpsuite进行抓包

 

将代码中的 User-Agent改为我们刚刚解密后得到的ua;Forward;得到flag;

也可以更简单的按F12.使用hackbar插件

LoadURL之后勾选User Agent 在这一栏写上我们解密后得到的UA;

 Execute,成功获取flag;

 

糖醋拐杖:D
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
js如\x6C\x69\x6E\x65\x63\x68加密代码解压方法
weixin_34376562的博客
10-20 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
lammps-4May2022.tar
07-20
lammps-4May2022.tar
2022DASCTF MAY 出题人挑战赛web部分
m0_62422842的博客
05-23 451
前言 这是五月份buu的比赛,当时专心备考,所以没有怎么看,这次就来复现一下比赛的一些web题吧。 Power Cookie 题目提到了cookie,那肯定与cookie有关。题目的信息没有给太多,那就bp抓包看看吧。 抓包分析看出set-cookieadmin为0 什么是set-Cookie?它向客户端发送一个http的cookie。cookie是由服务器发送给游览器的变量。上面是admin=0,我们需要管理员登录则就要admin=1。那这题就明显了。直接改包添加cookie就行了呀
2022DASCTF7月赋能赛(复现)
m0_62422842的博客
07-28 2584
DASCTF七月赋能赛的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
DASCTF部分复现
qq_63928796的博客
08-08 2411
过滤了大括号 {{,我们可以用 {%print(......)%} 或 {% if ... %}1{% endif %} 的形式来代替,但是题目还过滤了 print 关键字,所以前者用不了了,只能用 {% if ... %}success{% endif %} 的形式来bypass了。因为whatisthis里头的数字,有的很大,我们尝试生成一个小数点长度在10000的圆周率出来,看看能得到什么,圆周率生成的脚本用的是下面这个网址的大佬的脚本。首先利用FTK挂载一下vmdk文件,得到加密的磁盘。...
CTF之HAHA浏览器
Yvan的魔仙堡
11-27 2373
HAHA浏览器 据说信息安全小组最近出了一款新的浏览器,叫HAHA浏览器,有些题目必须通过HAHA浏览器才能答对。小明同学坚决不要装HAHA浏览器,怕有后门,但是如何才能过这个需要安装HAHA浏览器才能过的题目呢? 通关地址 目测和上一道种族歧视一个道理 去百度下怎么改浏览器的agent 先把Chrome给改成haha试试 这个太简单了吧 ...
UL 60335-2-3-2022(May 10, 2022)Household and Similar
11-24
UL 60335-2-3-2022(May 10, 2022)Household and Similar
openstck镜像-KVM虚拟机镜像 -WIN2022
05-26
利用zh-cn_windows_server_2022_updated_may_2023_x64_dvd_659778fe.iso(2023年5月)安装生成,virtio驱动为virtio-win-0.1.225.iso的WIN2022驱动 ,在OPENSTACK的Q版、T版、Y版测试可用。 磁盘容量20G,C盘16G...
GeneFace需要用到的May.zip
11-05
《GeneFace与May.zip在生物信息学的应用详解》 在现代生物信息学领域,GeneFace是一个备受关注的工具,它主要用于基因识别和分析。在这个领域,数据处理和分析的效率至关重要,而"May.zip"文件正是为GeneFace...
CPHIMS Handbook May 2015_Web
12-14
CPHIMS Handbook May 2015_Web, HIMS指导手册,2015年版本。
网页千色字 下载 3.5.080203魔幻版网页千色字 下载 3.5.080203魔幻版
09-30
网页千色字 下载 3.5.080203魔幻版网页千色字 下载 3.5.080203魔幻版网页千色字 下载 3.5.080203魔幻版网页千色字 下载 3.5.080203魔幻版
DASCTF X GFCTF 2024|四月开启第一局
最新发布
qq_61670993的博客
04-21 935
简单题
[DASCTF 2023]controlflow
CHTXRT的博客
07-22 349
直接反编译,通过汇编代码结合动态调试综合分析,得到输入数据变化过程大致如下:(设输入字符串为。出处:https://blog.csdn.net/CHTXRT。」创作共享协议,转载请在文章明显位置注明作者及出处。
2022DASCTF MAY 出题人挑战赛 misc
mumuzi的博客
05-22 2838
MAYMISC
2022DASCTF Apr X FATE CTF部分wp
3tefanie丶zhou的博客
04-25 3028
【只是两个人相处,那么喜欢一个人,可能会觉得她哪里都好,但是以后在一起了,就要学会喜欢她的不好】
[DASCTF 7月赛] 复现
qq_61768489的博客
08-17 334
压缩包密码就是上面 的admin密码550f37c7748e。一个png ,用zsteg打开能看见有个zip,提取出来。FTK Imager 打开后Mount 该文件。上面也得到了密文U2Fs.... 是AES密文。再用efdd 打开,配合pc.raw挂载。这串数字是八进制 ,也可直接ciphey。得到了密钥 358daebef0b7d。文件名是thes3cret。访问后有源码,有过滤。...
2021DASCTF Misc red_vs_blue
qq_51271165的博客
08-06 441
(第一次接触到需要nc连接的杂项题) 没有nc的需要先安装(Linux在终端输入apt install netcat) 安装完成后,直接nc xxxxxx xxxx 输入r/b猜测红蓝队的胜利,连续猜对66次就可以得到flag 如果错了就要重新猜(答案顺序不变),但是90秒后会自动断开连接,重新连接后答案顺序会改变,所以要人力无法完成的,要用脚本在90秒内跑出来,脚本如下: from pwn import * #需要用到pwntools模块 context.l...
DASCTF九月挑战赛复现-web
your_friends的博客
10-18 767
那么他就会直接将product合并到order原型链上那么他就可以直接添加token进入下面的判断语句了。可以发现在调用buyapi接口的时候直接将body作为实参传过去了,所以我们就可以控制product。那么我们只需要修改其的分数,用它原来的方法对他进行一次发包就可以拿到flag。下面的代码可以看到只有当他的密码是截取的1到6位的时候才会获得9999块钱。e就是分数,t就是我们的checkcode我们直接在页面对他进行调用。这里是可以直接传入URL的,URL会进行编码。
全国农信银CTF流量分析(凯撒会分析流量吗)
yoyo_573的博客
06-30 334
流量分析,时间盲注,题目提示了凯撒密码。转换下就得到了结果。
"Fuji Xerox SC2022维修手册:内部使用指南
The manual provides comprehensive instructions on troubleshooting common issues that may arise with the SC2022, such as paper jams, print quality problems, connectivity issues, and error codes....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值