【CTF Bugku:源代码】关于eval() 与 unescape()

最新推荐文章于 2024-05-17 00:00:22 发布
最新推荐文章于 2024-05-17 00:00:22 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 知识点 文章标签: web安全 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zw05011/article/details/122430741
版权

题目

随便输入字符,查看源码,发现一段代码

知识点

unescape()将Unicode编码的字符串进行解码,转化成字符串。

解析

关键在这里

eval(unescape(p1) + unescape('%35%34%61%61%32' + p2))

在javascript在线页面中跑一下代码,整理后,可以得到另一段代码

(插一句,这里的password、levelQuest与页面源码中的flag、submit对不上,但思路是一样的)

function checkSubmit(){ 
        var a=document.getElementById("password"); 
        if("undefined"!=typeof a){ 
            if("67d709b2b54aa2aa648cf6e87a7114f1"==a.value) 
                return!0; 
           alert("Error");
           a.focus(); 
            return!1 
    }
 } 
document.getElementById("levelQuest").onsubmit=checkSubmit;

输入67d709b2b54aa2aa648cf6e87a7114f1

得到flag


 

zw05011
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku ctf web4 (看看源代码吧)
qq_42777804的博客
08-13 1万+
  打开打开,刚刚有个sb问我借lol号玩,浪费时间 继续干正事   随便输入后,提示     再好好看看。。。 出题人语文肯定不好 ,,,应该是这个 ‘再’ 吧   那我们查看源码     将那么明显的两行   进行 unescape解密 <script> var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%...
ctf php 出bug了,BugkuCTF—WEB—WriteUp(持续更新)
weixin_39631755的博客
03-09 258
前几个题目都分开写了,后面的会继续全部这个帖子之中!有问题的机油可以互相交流。web2image.png草鸡简单的题目文件上传上传一个小马 提示反日图片文件那么先把小吗改为图片格式一个上传 进行抓包 改包 。jpg 直接改为 phpimage.pngimage.pngFlag:42e97d465f962c53df9549377b513c7e计算器验证码页面,但是input 输入框只能输入一...
BUGKU-CTF入门笔记
Emooooor的博客
12-05 620
CTFBUGKU、入门、夺旗赛、网络安全、web安全
CTF网络安全大赛简单web题目:eval
最新发布
Pythonit教程网
05-17 1582
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
BugkuCTF-WEB题源码
am_03的博客
08-26 273
根据提示 查看源码 有URL编码 解码并将其拼接 有一个假flag提交 得到真flag
Bugku-源代码
qq_56611811的博客
05-16 330
这段代码将p1,54aa2和p2字符串拼接,并将其作为JavaScript 代码进行执行。
CTF神器:自动爆破PNG图片宽高并一键修复工具
12-29
源代码中,开发者可能会将常用的功能封装成独立的模块,存放在`inc`这样的目录下,以便复用和维护。 `img`目录可能存放了示例图片或者测试用的图片,用户可以使用这些图片测试工具的效果,确认其是否能正确恢复...
CTF工具之seay源代码审计系统(web).rar
09-16
CTF工具之seay源代码审计系统(web)】是一个专门为网络安全竞赛(CTF,Capture The Flag)设计的源代码审计工具,主要用于Web安全领域。这个工具的主要目的是帮助参赛者或者安全研究人员检测和分析Web应用程序中...
ctfhub:一些用于CTF环境的Docker
05-14
CTFhub — 基于Docker的CTF学习环境0x00 前言CTFhub是面向所有学习CTF的朋友的环境,不用了解docker原理及知识,仅仅简单执行几条命令即可完成整个平台的搭建。0x01 搭建环境使用CTFhub中的环境的前提条件需要在本地...
CTF:来自 Capture The Flag 事件的文章和源代码
07-11
在这个特定的压缩包"CTF:来自 Capture The Flag 事件的文章和源代码"中,我们可以期待找到BalalaikaCr3w团队参与CTF活动时所使用的源代码和相关文章。这个资源对于学习网络安全、逆向工程、编程技巧以及问题解决策略...
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
BugKu - never_give_up
shawdow_bug的博客
09-15 541
玩玩吧
CTF之路:关于PHP eval() 注入问题
zw05011的博客
01-03 4651
CTF之路:关于PHP eval() 注入问题
Bugku-CTF之看看源代码
weixin_34015860的博客
04-20 686
Day13 看看源代码吧 http://123.206.87.240:8002/web4/ 本题要点:url解码 首先看到文本框,我们还是要习惯性输入一下 emmm,啥也没有 那就看看源码吧~ 两串很长的url编码 拿去解密 解密网站:http://tool.chinaz.com/tools/urlencode.aspx ...
CTF 密码学
weixin_47019868的博客
07-19 1817
CTF 密码学入门
js encode decode
热门推荐
天使的天空
05-14 2万+
网上查到的全都是escape,和需要的编码不是一回事,好不容易找到的结果 保存下来以备以后使用js对文字进行编码涉及3个函数:escape,encodeURI,encodeURIComponent,相应3个解码函数:unescape,decodeURI,decodeURIComponent1、   传递参数时需要使用encodeURIComponent,这样组合的url才不会被#等特殊字符
bugku web4
wssmiss的博客
07-21 235
web4 根据eval中的unescape函数可以确定前面p1,p2是escape加密 解密后得到 unescape(p1)= function checkSubmit(){var a=document.getElementById("password");if("undefined"!=typeof a){if("67d709b2b'; unescape(’%35%34%61%61%32’+...
bugku Web4
rommel的博客
08-01 3828
首先进入题面就是常见的提交框,老规矩直接查看源代码 在这里我们发现了有个js它定义了两个变量并采用eval函数算一些什么东西 var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63%75%6d%65%6e%74%2
8-杂项题目练习(五)
10-05
2. 杂项第三十五题:很普通的数独(ISCCCTF) - 这是一道与数独相关的题目,可能需要参赛者运用逻辑推理和编程技巧来解决。题目可能要求填写一个标准的数独谜题,或者与特定的规则和算法相关。 3. 杂项第三十六题:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值