BugKu----------源代码

最新推荐文章于 2024-05-16 05:08:49 发布
最新推荐文章于 2024-05-16 05:08:49 发布
阅读量587 收藏 2
点赞数 1
分类专栏: CTF笔记 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45616570/article/details/120712691
版权

BugKu----------源代码

image-20211011213947518

image-20211011214021859

解题过程

1.F12查看源代码,发现script代码,但是其中的两个变量需要使用url解码。

image-20211011214141361

2.使用url在线解码进行解码,得到如下代码

var p1=function checkSubmit(){var a=document.getElementById("password");
if("undefined"!=typeof a){if("67d709b2b

var p2=aa648cf6e87a7114f1"==a.value)return!0;alert("Error");
a.focus();return!1}}document.getElementById("levelQuest").οnsubmit=checkSubmit;


eval(unescape(p1) + unescape('54aa2' + p2));

补充知识:unescape() 函数可对通过 escape() 编码的字符串进行解码。

eval() 函数计算或执行参数。如果参数是表达式,则 eval() 计算表达式。如果参数是一个或多个 JavaScript 语句,则 eval() 执行这些语句

3.将这些变量进行拼接得到如下代码:

function checkSubmit(){var a=document.getElementById("password");
if("undefined"!=typeof a){if("67d709b2b54aa2aa648cf6e87a7114f1"==a.value)return!0;alert("Error");
a.focus();return!1}}document.getElementById("levelQuest").οnsubmit=checkSubmit;

4.通过分析源码可以知道输入框中传递参数67d709b2b54aa2aa648cf6e87a7114f1可以得到flag image-20211011215037184

r1ng_13
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku ctf web4 (看看源代码吧)
qq_42777804的博客
08-13 1万+
  打开打开,刚刚有个sb问我借lol号玩,浪费时间 继续干正事   随便输入后,提示     再好好看看。。。 出题人语文肯定不好 ,,,应该是这个 ‘再’ 吧   那我们查看源码     将那么明显的两行   进行 unescape解密 <script> var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%...
国外优秀HTML网页源代码(上)
03-22
超级优秀html网页源代码。相信程序员朋友不会错过的。超级难弄的。
Bugku-源代码
qq_56611811的博客
05-16 340
这段代码将p1,54aa2和p2字符串拼接,并将其作为JavaScript 代码进行执行。
Bugku---web---变量1
最新发布
2401_84968812的博客
05-16 533
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
bugku 源代码
weixin_63810302的博客
09-28 389
bugku 源代码
bugku--web
lulu001128的博客
04-20 213
解题过程
BUGKU 源代码 解析
qq_73722777的博客
03-27 145
解析代码后,结合源代码,猜测需要提交上方的字符串。猜测为url加密,在网站进行解密后得到一串代码。打开环境查看源代码之后,可以看见一串定义的变量。得到flag,此题结束。
bugkuctf解题-WEB
05-04
防御策略包括限制文件包含源,避免使用动态文件名。 5. 命令注入:通过在服务器端执行命令时插入恶意代码,攻击者可以控制服务器。防止命令注入应避免直接将用户输入传递给系统命令,而是使用安全的API或库来处理。...
[Bugku-AWD专版]一款用于AWD比赛中的自动化攻击框架.zip
09-30
在【YML-AWD-FRAME-FOR-BUGKU-master】这个主目录下,我们可以找到整个框架的源代码、配置文件和其他相关资源。 1. **框架结构**:框架通常包含以下几个关键部分: - **核心引擎**:执行自动化攻击的主程序,负责...
S2 AWD排位赛-9.zip
12-07
7. **源代码泄露**:有时,服务器配置错误或开发者疏忽可能导致源代码泄露,攻击者可以借此了解系统的内部结构和漏洞。 8. **隐写术和数据隐藏**:HTML文件中可能隐藏了肉眼难以察觉的信息,如图片的元数据、CSS...
S2 AWD排位赛-6.zip
12-07
3. **隐藏信息**:HTML源代码中可能隐藏了加密的字符串、URL、图片或其他线索,参赛者需要通过查看源代码、编码转换、正则表达式匹配等方式来揭示这些信息。 4. **HTTP头部信息**:网页的HTTP响应头中可能包含重要...
BugKu 2021 S1 AWD排位赛-7.zip
12-07
6. **隐藏信息**:HTML源代码中可能隐藏了加密的字符串、URL或者JavaScript代码,参赛者需要解析这些信息,可能涉及到编码转换、Base64解码或JavaScript逆向工程。 7. **HTTP头部信息**:通过分析HTTP响应头,参赛...
BUGKU-WEB 源代码
天泽岁月
02-18 1163
BUGKU-WEB 源代码,解码URL,分析js代码即可。
BUGku 源代码解题思路
weixin_45580429的博客
12-21 167
bugku web 源代码解题思路
bugku 文件包含,备份是个好习惯,源代码
m0_73721944的博客
09-26 170
这条语句又限制了key的输入,str_replace函数会对key进行过滤,但可以采取双写绕过的形式,即 kkeyey1,kkeyey2。如果两个字符经MD5加密后的值为 0exxxxx形式,就会被认为是科学计数法,且表示的是0*10的xxxx次方,还是零,都是相等的。1,md5()函数无法处理数组,如果传入的为数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。.因为md5()函数加密不能处理数组,则key1和key2的返回值为空,即可获得flag。点开click me?
bugku ezbypass
m_de_g的博客
04-23 452
bugku ezbypass $++,$_++
BUGKU-CTF入门笔记
Emooooor的博客
12-05 627
CTF、BUGKU、入门、夺旗赛、网络安全、web安全
bugku源代码题目解析
2201_75327657的博客
03-27 125
看到题目就知道需要从源代码下手,但由于认知较少并没有看懂但通过去看别人的题目解析。大概推测就是p1+%35%34%61%61%32+p2 url解码就能得到输出值。了解了url编码解密就能看懂。输入输出值然后得到flag。
BUGKU web 源代码
qq_75120258的博客
10-07 68
unescape() 函数可对通过 escape() 编码的字符串进行解码。 eval() 函数计算或执行参数。如果参数是表达式,则 eval() 计算表达式。如果参数是一个或多个 JavaScript 语句,则 eval() 执行这些语句
bugku chatgpt-1
10-09
ChatGPT是一种由OpenAI训练的大型语言模型。它的原理是基于Transformer架构,通过预训练大量文本数据来学习如何生成人类可读的文本,然后通过接受输入并生成输出来实现对话。 ChatGPT的用途非常广泛,可以用于自然语言处理(NLP)任务,如对话生成、问答系统、文本生成等。 如果你想使用ChatGPT,你可以用它来构建对话机器人,回答问题,生成文本等。它的应用非常广泛,可以用于各种场景,如客服、帮助提供者、教育机构等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值