XCTF攻防世界练习区-web题-simple_js

最新推荐文章于 2025-07-30 15:23:33 发布
最新推荐文章于 2025-07-30 15:23:33 发布
阅读量2.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/homewm/article/details/101273751
本文介绍了如何解决XCTF攻防世界中的一道web题目,涉及理解JavaScript代码、查看源码及构造Python脚本来解密密码。通过F12查看源码,发现函数未使用传入参数,通过修改源码并重新加载,得到部分提示。最终通过编写脚本解析,得出正确Flag:Cyberpeace{786OsErtk12},但为何源码修改后缺失一个数字2仍是个谜。

0x07 simple js

【题目描述】

小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )

【目标】

掌握有关js的知识。查看页面源码,了解js和读懂代码。

【解题思路】

F12查看网页源代码,找到index文件,仔细阅读js代码。(或者view-source:命令)

先输入一个password厂商一下返回的结果。

查看源码,读懂源码,发现函数并没有使用传入的参数的值。接下来的做法就是将参数pass_enc传入的值替换为pass值,然后保存源码后进行重新打开,点击提交,就获得了alert的值。

 

(Flag格式为 Cyberpeace{xxxxxxxxx} )

尝试一下构造flag输入,发现还是错误的。很生气,刚开始使用的是火狐做的,发现不行,然后使用谷歌还是不行发现还是这个答案,貌似是没解码完全。

然后根据这段代码的意义,我就构造了个python脚本简单解析下。


                

        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
【网络安全 | CTF】攻防世界 simple_js详析

				
			

			

				

					等风来
				

				

					05-21
					
					6838
					
				

			

		

		

			
				
被全局污染(我们并没有定义变量 p,JavaScript 将自动为我们创建一个全局 p 变量),函数每次都会返回上一次的解密结果(即undefined)目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )所以整个代码,是没有逻辑点可以绕过的,我们可以把整个代码当作无。的值为 undefined。而从第二次开始,因为变量。由于代码在解密函数开头并没有将全局变量。初始化,所以第一次运行时,变量。这里面应该是flag。再进行ASCII编码。

			
		

	



                

            
              



	

		

			

				
					
攻防世界 WEB 新手练习 writeup 007-012

				
			

			

				

					ChaoYue_miku的博客
				

				

					09-02
					
					1483
					
				

			

		

		

			
				
007 simple_php

难度系数:1.0
目来源: Cyberpeace-n3k0
目描述: 小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
0x01 打开网页 有一段PHP源代码

0x02 进行代码审计
<?php
show_source(__FILE__);
include("config.php");
$a=@$_GET['a'];
$b=@$_GET['b'];
if($a==0 and $a){
    echo $flag1;
}
if(is_numer

			
		

	



              


  
              

                


	

		

			

				
					
攻防世界:view_source

				
			

			

				

					qq_57061511的博客
				

				

					06-13
					
					263
					
				

			

		

		

			
				
根据目提示,要查看页面源代码,右键单击没有用,上网查询查看源代码的快捷键,就是ctrl+u,然后flag就在这一页。






			
		

	





	

		

			

				
					
攻防世界-simple_js

					
最新发布

				
			

			

				

					2401_88570825的博客
				

				

					07-30
					
					543
					
				

			

		

		

			
				
攻防世界-simple_js

			
		

	



		

			
		



	

		

			

				
					
2021-06-24CTF-攻防世界-WEB新手练习(12入门

				
			

			

				

					u258710的博客
				

				

					06-24
					
					2903
					
				

			

		

		

			
				
CTF-攻防世界-WEB新手练习(12入门)01-view_source02-robots03-backup04-cookie05-disabled_button06-weak_auth07-simple_php08-get_post09-xff_referer10-webshell11-command_execution12-simple_js
01-view_source
目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
目提示查看网页源代码,但鼠标右键不管用

			
		

	





	

		

			

				
					
XCTF WEB simple_js

				
			

			

				

					无限迭代中......
				

				

					07-01
					
					842
					
				

			

		

		

			
				
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5067

解:

F12查看网页源代码,找到index文件,仔细阅读js代码。(或者view-source:命令)

会发现dechiffre返回值与参数pass_enc没有任何关联,返回值是固定的,即不论输入什么都是一样得输出。所以...

			
		

	





	

		

			

				
					
XCTF simple_js

				
			

			

				

					weixin_43982276的博客
				

				

					10-11
					
					204
					
				

			

		

		

			
				
XCTF simple_js
这个 应该算自己做了80%以上 但是还是差了一点点 还是对自己不够自信再加上不能很好的读懂网页源码的缘故
发现

这样一串东西之后要敏感
将它放入vs里面 因为感觉到它是我熟悉的ASCII码
于是

然后啊!!
只要将其复制下来转换为字母即可(我就是懒了这一步直接去看的writeup)
得解

...

			
		

	





	

		

			

				
					
XCTF攻防世界练习-web-view_source

				
			

			

				

					果冻先生的专栏
				

				

					09-18
					
					1225
					
				

			

		

		

			
				
很久没用做过ctf了,都有些许的陌生了,拿字节跳动的几道简单再练练手吧。

WEB

0x01.view_source

【目描述】

X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。



【目标】

学会查看源代码。

【解思路】

本的解思路有多种方法,很简单:

按住F12 开发者工具查看源代码
	地址栏前输入view-source,即view-s...

			
		

	





	

		

			

				
					
XCTF攻防世界练习-web-Robots

				
			

			

				

					果冻先生的专栏
				

				

					09-19
					
					1156
					
				

			

		

		

			
				
0x03. Robots

【目描述】

X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。



【目标】

掌握robots协议的知识。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索爬虫访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索爬虫就会按照该文件中的内容来确定访问的范围;如...

			
		

	





	

		

			

				
					
XCTF攻防世界练习-web-backup

				
			

			

				

					果冻先生的专栏
				

				

					09-19
					
					3226
					
				

			

		

		

			
				
0x04.backup

【目描述】

X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!



【目标】

掌握有关备份文件的知识。 常见的备份文件后缀名有: 常见的备份文件后缀名有:“.git” 、“.svn”、“ .swp”、“.~”、“.bak”、“.bash_history”、“.bkf” (共7种)

【解思路】

(1)那就按照常见的备份进行解析...

			
		

	





	

		

			

				
					
XCTFsimple_js

				
			

			

				

					小白渣的博客
				

				

					09-27
					
					1129
					
				

			

		

		

			
				
打开之后,直接查看源代码,发现一串JS代码
function dechiffre(pass_enc){
        var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
        var tab  = pass_enc.split(',');
                var tab2 = pass....

			
		

	





	

		

			

				
					
XCTF simple js

				
			

			

				

					YenKoc的博客
				

				

					12-03
					
					371
					
				

			

		

		

			
				
思路分析:
进入靶场,

随便输入,肯定是错误的,f12看下源码,结合目说js,把js代码单独拿出来看看。
function dechiffre(pass_enc){
        var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
        var tab  = pass_enc.split(',')...

			
		

	





	

		

			

				
					
13、XCTF simple_js

				
			

			

				

					山兔的博客
				

				

					09-16
					
					202
					
				

			

		

		

			
				
小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )
打开网站就是让我们输密码,那就输呗,
他说我FAUX PASSWORD HAHA,
那应该就是输错了呗。
F12源码,发现了一串代码
 function dechiffre(pass_enc){
        var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
        var tab  = pass_enc.s

			
		

	





	

		

			

				
					
攻防世界-Web-新手练习-simple js

				
			

			

				

					muhkter8的博客
				

				

					09-17
					
					576
					
				

			

		

		

			
				
进入场景后出现要求输入密码的界面

经测试发现无论输入什么,结果都如下图所示



右击检查,可以看到javascript代码



用python解析一下pass对应的字符串"70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"


def main():
    ch = [70, 65, 85, 88, 32, 80, 65, 83, 83, 87, 79, 82, 68, 32, 72, 65, 72, 65]
    for i in ...

			
		

	





	

		

			

				
					
XCTF_Web_新手练习simple_js(源代码详解)

					
热门推荐

				
			

			

				

					1stPeak's Blog
				

				

					06-13
					
					1万+
					
				

			

		

		

			
				
第二simple_js (源代码详解)

 目标: 
掌握有关js的知识
Writeup

进入环境后我们遇到了输入密码,于是我们随便输入一个密码,点击确定


之后啥也没有,于是我们看看源代码,哎,有东西,不错呦

<html>
<head>
    <title>JS</title>
    <script type="text/javascrip...

			
		

	





	

		

			

				
					
XCTF攻防世界web新手练习_ 5_simple_js

				
			

			

				

					silence1_的博客
				

				

					04-28
					
					1万+
					
				

			

		

		

			
				
XCTF攻防世界web新手练习—disabled_button
目为simple_js,提示信息:
打开目,弹出一个弹窗,提示输入密码

随便输入一个,提示输入错误,之后查看源码,得到js源代码,是一个解码函数

分析源码,发现随便输入什么都会输出
pass="70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"对应的字符
用pyt...

			
		

	





	

		

			

				
					
simple_transfer攻防世界

				
			

			

				

					qq_45562910的博客
				

				

					10-15
					
					341
					
				

			

		

		

			
				
很多教程不够详细,试错很久最终得到flag,每一步都是珍贵的时间换来的

			
		

	





	

		

			

				
					
攻防世界simple_transfer

				
			

			

				

					2401_87395580的博客
				

				

					12-04
					
					264
					
				

			

		

		

			
				
首先下载文件后,打开并使用Wireshark进行分析。观察其文件内容,发现PDF后进行提取。发现NFS占比很多,就对他进行过滤。后面点开提取,就得到了flag。后面点击,统计,协议分级。发现PDF字样,准备提取。

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值