攻防世界web篇 simple_js

最新推荐文章于 2024-06-10 11:31:57 发布
最新推荐文章于 2024-06-10 11:31:57 发布
阅读量254 收藏 2
点赞数 1
分类专栏: c++ ctf 文章标签: web 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lshandel/article/details/118582025
版权
ctf 同时被 2 个专栏收录
4 篇文章 0 订阅
订阅专栏
c++
3 篇文章 0 订阅
订阅专栏

昨天发现了一个非常有趣的ctf训练网站,虽然上面的题比较简单,但是感觉非常适合新手拿来练手,今天零零碎碎一天写了写web篇的内容,学习到了很多东西,看到csdn上这一篇题解不多,就发一下个人的解法。

首先分析一波

题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )(ps:给出格式的话,很可能是提示我们flag剩下的内容藏在某个地方
那么先打开网站在这里插入图片描述

在这里插入图片描述
一进来就让输密码,那么我们自然是随便输一个然后看一波源码在这里插入图片描述
源码内容如图,发现这个题目不讲武德,alert( dechiffre(h) );这一行说明不管我们输什么都会通过dechiffre这个函数处理后得到FAUX PASSWORD HAHA。不过不用急,往上看我们发现了一串可疑的数字
在这里插入图片描述
看着有点乱七八糟,不过反应一下 看出来是十六进制,再加上这一句的提示:
在这里插入图片描述
这告诉我们应该转化成字符型,结合ascii码得出(当然不是肉眼结合ascii。。。

然后用我们会的各种方法破解一波

我自然是选择大家喜欢的 c++,这里先cout出来十进制,发现是一个一个用逗号隔开的数字cout出来的结果直接复制粘贴给一个字符数组,遍历输出。

#include<iostream>
using namespace std;
int main()
{
    cout<<"\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"<<endl;
    char a[]={55,56,54,79,115,69,114,116,107,49,50};
    for(auto i:a)
        cout<<i;
    cout<<endl;
}

在这里插入图片描述
芜湖~~看看我们得到了什么,它长得就像flag剩下的那一部分,结合前面给出的格式 那么完整的flag值就是Cyberpeace{7860sErtk12}

青 霞
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF攻防世界 simple_js 解题详析
等风来
05-21 4649
因此,JavaScript 将自动为我们创建一个全局 p 变量,并将所有未声明的变量都放在全局作用域中。这意味着,用户输入密码(密文)并调用解密函数时,
审计代码(攻防世界 web simple_js
Kni9hT's Blog
03-01 1588
可算刷到web新手区最后一题了,终于上了代码审计。 题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 打开链接页面弹出一个输入密码的对话框,但是试了好几次都显示错误。 F12查看网页源代码。 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,...
攻防世界web新手之simple_js
qq_40481505的博客
05-07 9398
攻防世界web新手之simple_js 打开题目地址,查看源码,发现head里藏了一段js代码,于是考下来研究研究 function dechiffre(pass_enc) { var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; //0-17 var tab = pass_en...
攻防世界web_simple_js
电脑VAN家陈志强
01-14 262
小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 进入页面,输入密码试试 得到空白页面,查看源代码试一试,得到一个代码,放入代码格式化网站里得到 function dechiffre(pass_enc) { var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.split(','); var tab
攻防世界web新手题 simple_js
最新发布
qq_52481261的博客
06-10 475
其实这段代码的作用就是将传入的字符以及最初定义的pass根据String.fromCharCode转换为一段字符,接着将转换后的pass字符串根据弹窗弹出,也就是说无论输入什么这段代码都会弹出这段字符串。接着将解密出来的一组数字转换得到一串字符,集合题目的flag格式可以得到flag:Cyberpeace{786OsErtk12}随意输入密码并使用burpsuite抓包,看到response返回了一段JS代码,这段JS代码应该是解题的关键。(Flag格式为 Cyberpeace{xxxxxxxxx} )
攻防世界-web-simple js
wuh2333的博客
05-06 781
攻防世界webjs
攻防世界--simple_js
HEAVEN569的博客
03-17 2808
题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 打开网址,就一个密码输入框,啥都没有,尝试随便输入一个密码,报错。 ctrl+U 查看源代码 <html> <head> <title>JS</title> <script type="text/javascript"> function dechiffre(pass_enc){ ......
攻防世界web simple_js chr() 用法 python3
Rashu99's blog
06-14 1181
simple_js 查看源代码 ASCII码的十六进制转成十进制 口算好像也不难 55,56,54,79,115,69,··········那还是用python吧 pycharm python3 s="\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30" c=s.sp
XCTF攻防世界练习区-web题-simple_js
果冻先生的专栏
09-24 2007
0x07 simple js 【题目描述】 小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 【目标】 掌握有关js的知识。查看页面源码,了解js和读懂代码。 【解题思路】 F12查看网页源代码,找到index文件,仔细阅读js代码。(或者view-source:命令) 先输入一个password厂商一下返回的结果。 查看...
攻防世界-simple_js
m0_62094846的博客
11-18 397
密码输不对,包也抓不到,就看看源代码 看着就是javascript代码,要代码审计 第一部分是函数部分,先看第二部分 String["fromCharCode"]应该就是说把Unicode转换成字符串并返回 函数部分有点难懂,先看看 \x35\x35\x2c 这部分的内容,在网上查看,知道这就是C/C++里普通的转义字符。直接用cout 或者 printf 就能显示出来。也可以查ASCII表,每个\x后面的两位 是一个十六进制数。 得到转化后的代码,要看...
攻防世界——simple_js
XYZCG的博客
09-06 483
梳理一遍,我们可以得知中间那一大串循环的作用就是将数组的值作为十进制转为ASCII,结果为FAUX PASSWORD HAHA。但是pass_enc只在最初起了作用,而这个结果也不是我们要的,那么答案就极有可能在最下面的那一长串里。题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )将其16进制转换为10进制后,再将其转为ASCII后得到答案786OsErtk12。这是一个博主写的,我觉得整理得很好。
攻防世界(WEB) simple_js
qq_54929891的博客
08-25 1211
从这个标题来看,考的点应该是跟JavaScript有关的,肯定一进去必须要打开F12,因为html css JavaScript都是跟网页有关的 一进去叫我们输入密码,随便输一个看看 果不其然是错的(感觉自己傻傻的) ,点确定,然后打开F12找一下有没有线索 发现script里面有一大串代码,想必然肯定是获得密码的关键所在,为了看的舒服,我把代码复制到了visualcode里面 在这里我就将我的思路说一下,因为我之前没有接触过类似的题目,因此我使用的最笨的方法将这段代码解析出来的..
simple_js-攻防世界
szhangliwenya的博客
04-07 781
是 JavaScript 中的一个静态方法,用于从一系列 Unicode 码点(即数字)中创建一个字符串。该方法接受一个或多个数字作为参数,每个数字代表一个 Unicode 码点,然后返回一个包含这些码点对应字符的字符串。Unicode 是一种字符编码标准,它为每个字符(如字母、数字、标点符号等)分配一个唯一的数字码点。在JavaScript中,赋值表达式本身会返回被赋的值。上面其实就是将二个字符串对应的ascill对应字母的字符串。函数,并传入了一个加密的字符串(以十六进制形式表示)
攻防世界——新手区——simple_js
weixin_45864041的博客
08-19 206
打开题目。随意输入密码尝试登陆。 进入页面发现什么都没有,直接F12查看源码。可以看到很明显的有一串十六进制数字。我们猜测这个应该就是flag。 上python,输出成十进制看。 这应该是一串字符的acsII码 用python将其转化成字符串。 flag出现。 ...
攻防世界(CTF)~web-simple_js
m0_75030189的博客
05-08 446
题目介绍 看一下页面,直接弹出来一个框让我们输入password 随便输入了几个数字,得到这个回显 没啥大概思路,先看一下源码(F12) 仔细看了一下,发现两条可疑的数据 "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65" 这一串数字用ASCII(十进制)转一下发现就是我输入密码回显的那些字母 这一下思路就来了,是不是这串十六进制数字也是什么有用的信息,先转成十进制看一下 "\x35\x35\x2c\
攻防世界-Web-新手-simple_js
weixin_31610083的博客
10-11 302
【题目描述】 小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 【附件】 在线场景 【过程及思路】 打开在线场景后弹出输入框: 尝试输入了几次后,发现都是这个结果。 老样子,先查看网页源码。 经过代码审计,发现很坑的一件事:输入到输入框的内容经过js的函数window.prompt来保存到变量h中,之后网页直接将h经过dechiffre()这个函数一顿操作,然后把一个不知道什么东西返回并弹出,最后...
攻防世界 web simple_js
shidonghang的博客
10-25 2360
simple_js 题目 场景 过程 F12查看调试器 将上图中pass对应的一串数字根据ASCII码转换为字符串 “70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65” “FAUX PASSWORD HAHA” 试了一下,没什么用。 又发现dechiffre函数中有如下16进制数串: \x35\x35\x2c\x35\x36\x2...
攻防世界web_python_template_injection
03-16
攻防世界中的web_python_template_injection是一种Web应用程序漏洞,它允许攻击者通过注入恶意代码来执行任意操作。这种漏洞通常出现在使用Python模板引擎的Web应用程序中,攻击者可以通过注入Python代码来执行任意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值