攻防世界-WEB:simple_js

最新推荐文章于 2023-09-06 12:47:13 发布
最新推荐文章于 2023-09-06 12:47:13 发布
阅读量179 收藏
点赞数 2
分类专栏: 攻防世界 文章标签: javascript 前端 html Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlw1275178332/article/details/129542281
版权

题目:https://adworld.xctf.org.cn/challenges/problem-set-index?id=25&rwNmOdr=1678803670521

打开场景就是让我们输密码,随手输一个看看

回显假密码还带个haha(有被嘲笑到),网页空白,题目又提及js,那就查看一下网页源代码

js代码这么多,线索应该是在这其中。对代码审计一番发现,首先是定义了很多无用变量,其次回显结果与tab无关。这时候下方的一段代码引起了注意。

String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));

\x开头感觉是十六进制,随手写个python脚本跑一下看看

得到这一串数字,盲猜是ASCII编码,再写个python脚本跑一下看看

按照题目描述flag格式尝试提交成功

那么flag为

Cyberpeace{786OsErtk12}

只会拔网线
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】攻防世界 simple_js 解题详析
等风来
05-21 4462
因此,JavaScript 将自动为我们创建一个全局 p 变量,并将所有未声明的变量都放在全局作用域中。这意味着,用户输入密码(密文)并调用解密函数时,
hyenae-0.36-1_fe_0.1-1-win32.exe
04-17
只是一款基于TCP/IP协议的一款网络IP嗅探·与试压测试软件,可以用于网站压力测试也可以用来网络攻防测试,检测网站的dos承受力。
攻防世界WEB练习区(view_source到simple_js)
不知名白帽的博客
05-30 2024
view_source、get_post、robots、backup、cookie、disabled_button、weak_auth、simple_php、xff_referer、webshell、command_execution、simple_js
攻防世界--simple_js
HEAVEN569的博客
03-17 2744
题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 打开网址,就一个密码输入框,啥都没有,尝试随便输入一个密码,报错。 ctrl+U 查看源代码 <html> <head> <title>JS</title> <script type="text/javascript"> function dechiffre(pass_enc){ ......
攻防世界-simple_js
m0_62094846的博客
11-18 369
密码输不对,包也抓不到,就看看源代码 看着就是javascript代码,要代码审计 第一部分是函数部分,先看第二部分 String["fromCharCode"]应该就是说把Unicode转换成字符串并返回 函数部分有点难懂,先看看 \x35\x35\x2c 这部分的内容,在网上查看,知道这就是C/C++里普通的转义字符。直接用cout 或者 printf 就能显示出来。也可以查ASCII表,每个\x后面的两位 是一个十六进制数。 得到转化后的代码,要看...
网络攻防课程seed-labs实验-Web_XSS_Elgg.zip
最新发布
06-01
网络攻防课程seed-labs实验-Web_XSS_Elgg.zip
网络攻防课程seed-labs实验-Web_SQL_Injection.zip
06-01
网络攻防课程seed-labs实验-Web_SQL_Injection.zip
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
shell-plus::laptop_computer:ShellPlus是基于RMI的单一服务器管工具,由服务端,注册中心,客户端进行组成。该工具主要用于服务器管理,攻防后门安全测试以及技术研究,禁止用作非法犯罪
02-05
免责声明该工具用于服务器管理,攻防后门安全测试技术研究,禁止用于非法犯罪。原理RMI(远程方法调用)远程方法调用。能够在客户端Java虚拟机上的对象像调用本地对象一样调用服务端java虚拟机中的对象上的方法。 ...
攻防世界——simple_js
XYZCG的博客
09-06 423
梳理一遍,我们可以得知中间那一大串循环的作用就是将数组的值作为十进制转为ASCII,结果为FAUX PASSWORD HAHA。但是pass_enc只在最初起了作用,而这个结果也不是我们要的,那么答案就极有可能在最下面的那一长串里。题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )将其16进制转换为10进制后,再将其转为ASCII后得到答案786OsErtk12。这是一个博主写的,我觉得整理得很好。
simple_js(攻防世界
m0_70819573的博客
02-24 102
2.真正的密码在fromCharCode中,用python处理后再采用ascii编码,获取flag。需要对java有一定的了解。
【愚公系列】2023年05月 攻防世界-Websimple_js
热门推荐
时光隧道
12-25 3万+
JavaScript源码分析是指对JavaScript程序中的代码进行解读和分析的过程。它可以帮助我们了解代码的结构、功能和逻辑,从而更好地理解和掌握代码。在JavaScript开发中,源码分析是非常重要的,它可以帮助我们更好地理解和使用JS库和框架,优化代码性能和逻辑,同时也可以提高我们的编程技能和经验。常用的工具和技术包括阅读和调试代码、代码静态分析、代码测试和性能分析等。
攻防世界WEB】难度三星9分入门题(上):simple_js、mfw
07-23 352
攻防世界WEB】三星9分
攻防世界simple_js 小萌解析
qq_62874063的博客
02-13 1267
攻防世界simple_js
攻防世界Websimple_js、baby_web、Training-WWW-Robots、PHP2”题解
qq_53325209的博客
03-27 4765
本文主要涉及攻防世界Web区 “simple_js、baby_web、Training-WWW-Robots、PHP2”的题解。
JavaScript中的split()方法
hl18730262380的博客
10-23 824
split()方法 stringObject.split(separator,howmany) 描述 separator 必需。字符串或正则表达式,从该参数指定的地方分割 stringObject。 howmany 可选。该参数可指定返回的数组的最大长度。如果设置了该参数,返回的子串不会多于这个参数指定的数组。如果没有设置该参数,整个字符串都会被分割,不考虑它的长度。 例子 在本例中,我们将按照不...
攻防世界: cgpwn2
qq_41071646的博客
01-02 4163
这个题 也是新手入手的题 比较简单   怎么说呢 就是一个简单的构造罢了 点进hello  然后发现  然后我们点进name   发现 name 地址是固定的 我们可以将这个写入 bin/sh 就可以了 然后看 system列表    这里可以看的出来  是有42个 字符  就可以 返回我们gets 的返回地址  然后  我们 只需要 讲system 搞进去 然后输入...
走进JavaWeb技术世界17:web安全攻防详解
Java技术江湖
03-17 3350
安全要素与 STRIDE 威胁 今天,来分享下安全要素与 STRIDE 威胁。 STRIDE 威胁 STRIDE 威胁,代表六种安全威胁:身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、特权提升(Elevation of Priv...
web python template injection_攻防世界-Web_python_template_injection详解
05-26
Web Python Template Injection 是一种常见的 Web 漏洞类型,通常缩写为 SSTI(Server Side Template Injection)。该漏洞是由于 Web 应用程序未正确处理用户输入导致的,攻击者可以通过构造恶意输入来执行任意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值