XCTF(新手练习) Web 之 simple_js

最新推荐文章于 2022-11-07 17:48:53 发布
最新推荐文章于 2022-11-07 17:48:53 发布
阅读量367 收藏
点赞数
分类专栏: XCTF 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43230425/article/details/108741149
版权

simple_js

附上题目链接:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5067&page=1
在这里插入图片描述
点开题目场景后
在这里插入图片描述
任意输入一个密码,比如111,结果出现弹窗
在这里插入图片描述
查看网页源代码,发现里面有一段JS代码:
在这里插入图片描述
将JS代码提取出来为:

   function dechiffre(pass_enc){
        var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; 
        var tab  = pass_enc.split(',');
                var tab2 = pass.split(',');var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length;
                        k = j + (l) + (n=0);
                        n = tab2.length;
                        for(i = (o=0); i < (k = j = n); i++ ){o = tab[i-l];p += String.fromCharCode((o = tab2[i]));
                                if(i == 5)break;}
                        for(i = (o=0); i < (k = j = n); i++ ){
                        o = tab[i-l];
                                if(i > 5 && i < k-1)
                                        p += String.fromCharCode((o = tab2[i]));
                        }
        p += String.fromCharCode(tab2[17]);
        pass = p;return pass;
    }
    String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));

    h = window.prompt('Enter password');
    alert( dechiffre(h) );

分析之后我们发现,在dechiffre()函数中,并没有使用到我们输入的pass_enc变量,也就是说我们无论输入的密码是多少,输出的都是一样的为pass且pass的值始终为初始定义的值,即

pass=“70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65”

将这串十进制数字转换成ASCII码之后为:
(附上在线转换工具链接:http://www.ab126.com/goju/1711.html

F,A,U,X, ,P,A,S,S,W,O,R,D, ,H,A,H,A

故可以联想到代码中dechiffre函数中的一串字符也是有用信息:

dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30")

将这串字符中的“\x”转换成“%”,变为:

%35%35%2c%35%36%2c%35%34%2c%37%39%2c%31%31%35%2c%36%39%2c%31%31%34%2c%31%31%36%2c%31%30%37%2c%34%39%2c%35%30

将这些字符进行URL解码得到:

55,56,54,79,115,69,114,116,107,49,50

解码我用的是火狐中的Hackbar插件,输入字符后点击Url Decode,可得到答案
在这里插入图片描述
在这里插入图片描述

将55,56,54,79,115,69,114,116,107,49,50通过十进制转ASCII工具转换成ASCII后为:

7,8,6,O,s,E,r,t,k,1,2

根据提示(Flag格式为 Cyberpeace{xxxxxxxxx} )提交答案
Cyberpeace{786OsErtk12}

JIEGOUSHUJU
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2021-06-24CTF-攻防世界-WEB新手练习区(12题入门题)
u258710的博客
06-24 2518
CTF-攻防世界-WEB新手练习区(12题入门题)01-view_source02-robots03-backup04-cookie05-disabled_button06-weak_auth07-simple_php08-get_post09-xff_referer10-webshell11-command_execution12-simple_js 01-view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 题目提示查看网页源代码,但鼠标右键不管用
JavaScript中的split()方法
hl18730262380的博客
10-23 830
split()方法 stringObject.split(separator,howmany) 描述 separator 必需。字符串或正则表达式,从该参数指定的地方分割 stringObject。 howmany 可选。该参数可指定返回的数组的最大长度。如果设置了该参数,返回的子串不会多于这个参数指定的数组。如果没有设置该参数,整个字符串都会被分割,不考虑它的长度。 例子 在本例中,我们将按照不...
[simple_js]writeup
sGanYu
08-30 896
打开页面后,无论在输入框中输入任何内容都回显一个结果 右击或按f12查看源代码,得到一段脚本代码 <script type="text/javascript"> function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.spli...
Web---simple_js
qq_46927150的博客
04-24 391
simple_js 题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 打开题目场景后,会让你输一个密码,随便输,他会提示你“FAUX PASSWORD HAHA”。 查看源码,找到js代码。 会有一串非常奇怪的字符串: \x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\...
攻防世界 —— Web新手练习区12题(simple js)题解
Catherine_qingzhu的博客
04-05 1117
题目描述 从题目可以看出来,这是一道考JavaScript的题。 首先按F12键调出Console,不输入密码,直接点击“取消”,可以看到控制台报错了。 点击报错信息进入到源代码界面 分析源代码后发现函数dechiffre不管传入参数是什么都会输出"FAUX PASSWORD HAHA",这也就意味着不管你输入什么密码,最后都会提示你"FAUX PASSWORD HAHA"。 ...
攻防世界--simple_js
HEAVEN569的博客
03-17 2771
题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 打开网址,就一个密码输入框,啥都没有,尝试随便输入一个密码,报错。 ctrl+U 查看源代码 <html> <head> <title>JS</title> <script type="text/javascript"> function dechiffre(pass_enc){ ......
XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习区-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF-RE】新手练习区-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
python小记--攻防世界simple_js解题脚本编写
tzyyyyyy的博客
11-07 598
python小记--攻防世界simple_js解题脚本编写
攻防世界新手练习12道题详解(6-12)
hx7hx7的博客
10-09 454
攻防世界新手练习12道题详解(6-12)
第七题:simple_js(源代码详解)
Greedy Hat的博客
07-24 7579
第七题:simple_js(源代码详解)
攻防世界——websimplejs
XYH_233的博客
10-06 752
web,ctf,simplejs
攻防世界web做题笔记
weixin_64286326的博客
02-08 597
想着早点把任务完成,结果动态环境一直创建失败,麻了 加群反馈了,还是没有回复,先注册个小号得了 md 换个号还是这样,谢特
XCTF新手练习区 writeup
Mitchell_Donovan的博客
12-20 651
目录 第一题.view_source 第二题.robots 第三题.backup 第四题.cookie 第五题.disabled_button 第六题.weak_auth 第七题.simple_php 第一题.view_source 原题链接 key:查看网页源代码 查看网页源代码的几种途径: ①ctrl+U ②F12 ③在地址前面加上view-source后再访问 ④设置->更多工具->开发者工具 第二题.robots 原题链接 key:查看robot.
攻防世界Web新手区-simple_js
零安道长的博客
09-09 409
题目描述: 小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 进入场景就弹了一个框,让输入密码 随便输入一个密码,提示假的密码 3. 根据题目描述得知此题和js有关,打开开发者工具,找到该网页的js代码 4. 我们对这段代码进行简单的审计 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65
攻防世界-web-新手练习区(2)
wyj_1216 House
05-22 3803
0x01simple_js 题目 writeup 首先随便输入,进入页面,查看页面源代码 发现pass,尝试转换为ASCII码对应的, 发现是提示密码输入错误的话 然后看到fromCharCode,尝试转换为十进制,并转换为ASCII码相对应的根据题目提示的flag格式,最终得到flag为:Cyberpeace{786OsErtk12} 附~ simple_js function dechiff...
pure_color xctf
最新发布
07-16
XCCTF 是全球知名的网络安全竞赛组织之一,而 pure_color 是该竞赛组织内的一项赛事。该赛事旨在提升参赛者的网络安全技能和知识,让他们在一个仿真的网络环境中进行攻防对抗。 在 pure_color xctf 中,参赛队伍将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值