攻防世界-Web-新手-simple_js

最新推荐文章于 2024-10-21 20:25:03 发布
最新推荐文章于 2024-10-21 20:25:03 发布
阅读量428 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 攻防答题 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31610083/article/details/120712849

【题目描述】

小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )

【附件】

在线场景

【过程及思路】

打开在线场景后弹出输入框:

尝试输入了几次后,发现都是这个结果。

老样子,先查看网页源码。

经过代码审计,发现很坑的一件事:输入到输入框的内容经过js的函数window.prompt来保存到变量h中,之后网页直接将h经过dechiffre()这个函数一顿操作,然后把一个不知道什么东西返回并弹出,最后弹出的显然是上面图中的那个结果,中间并未进行任何验证

也就是说,无论你输入什么都不会得到哪怕一丝有用的结果。

进一步说,本题的解法根本不是输入一个正确的密码然后得到flag

这可怎么办?

注意到有一行很长的代码,里面有一些\x,表示的16进制的数。

我们将它还原一下..

转换代码(Python):

code = "\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"

strlist = code.split(',');

ans = ""

# print(strlist)

for asc in strlist:

    s = chr(int(asc))

    ans += s

print(ans)

得到:786OsErtk12

这个看起来像是flag了,拼入题目格式中,答案正确。

本题通过js代码审计、ascii编码还原,绕过假的、不可达的密码路径,从源码中得到我们想要得到的信息。

同时,也给我们一种新的思路:答案并不一定在看起来正常的走法上,可能需要你绕到背后

【答案】

 Cyberpeace{786OsErtk12}

如果文章对你有帮助,就动动手指点赞、喜欢、支持一下咖啡猫吧,谢谢!

【CTF | WEB】004、攻防世界WEB题目之simple_js
韩非雨的博客
08-18 821
String["fromCharCode"] 这个语句是一种非标准语法的写法,它实际上是等价于标准语法中的 `String.fromCharCode。String.fromCharCode()函数用于从一些Unicode字符值中返回一个字符串,String.fromCharCode()方法的返回值为String类型,其返回值为Unicode数值所表示的字符串。
ctf web5 练习_CTF-攻防世界-WEB新手练习区 Writeup(12题入门题)
weixin_33603656的博客
01-15 3817
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习区 12题入门题 Writeup(注意:攻防世界WEB题每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解题思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。题目提示查看源码,鼠标右键不管用,用F12...
攻防世界web刷题 新手simple_js (代码解读加思路分析)
qq_39585393的博客
11-13 520
题目 小宁发现一个网页,但却一直不对密码(Flag格式为 Cyberpeace{xxxxxxxxx} ) 题目分析与解题 随便入进去 分析: 提示为js直接查看源代码 <html> <head> <title>JS</title> <script type="text/javascript"> function dechiffre(pass_enc){ var pass = "70,65
攻防世界--simple_js
qq_38169894的博客
07-15 277
1、提示入,随便入一串字符试错 2、F12 查看源码识别①② 3、py脚本 import ast lists = ast.literal_eval(input("请入列表,用,隔开:")) print("您入的列表为:",lists) for i in lists: print(chr(i),end='') =>① =>② 是flag 进制转字符串,后再使用脚本转 ...
攻防世界-simple_js
weixin_49539962的博客
08-23 365
进制转换就是,也是一串数字,那把这两串数字都拿去转ASCII码。js就看源代码,pass是数字,下面还有一串十六进制的编码。
攻防世界-- web新手练习区-- writeup汇总
yisosooo的博客
09-22 2585
一篇帖子包含所有题目。 第一题-- view_source 题目提示:鼠标右键好像不管用了。鼠标右键的主要功能之一是选取网易源代码选项,所以可以F12来查看源代码。即可得到flag。 第二题-- get_post 题目提示:HTTP通常使用两种请求方法。HTTP通常使用两种请求方法为GET和POST. 第一步:请用GET方式提交一个名为a,值为1的变量,构造URL:http://111....
2021-06-24CTF-攻防世界-WEB新手练习区(12题入门题)
u258710的博客
06-24 2830
CTF-攻防世界-WEB新手练习区(12题入门题)01-view_source02-robots03-backup04-cookie05-disabled_button06-weak_auth07-simple_php08-get_post09-xff_referer10-webshell11-command_execution12-simple_js 01-view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 题目提示查看网页源代码,但鼠标右键不管用
CTF-攻防世界web新手入门篇
热门推荐
weixin_45923850的博客
04-14 1万+
CTF练习题目
攻防世界——simple_js
XYZCG的博客
09-06 588
梳理一遍,我们可以得知中间那一大串循环的作用就是将数组的值作为十进制转为ASCII,结果为FAUX PASSWORD HAHA。但是pass_enc只在最初起了作用,而这个结果也不是我们要的,那么答案就极有可能在最下面的那一长串里。题目描述:小宁发现一个网页,但却一直不对密码(Flag格式为 Cyberpeace{xxxxxxxxx} )将其16进制转换为10进制后,再将其转为ASCII后得到答案786OsErtk12。这是一个博主写的,我觉得整理得很好。
攻防世界(WEB)——simple_js
NanGuai的博客
10-21 481
因此这部分代码其实是一部分欺骗性代码,目的就是为了误导我们。有兴趣的同学可以再去剖析一下这部分代码的具体过程,其实最终结果就是把那一长串转换为。根据题目名称可以看出来这道题需要根据js来解决。打开网页,是一个需要密码登录的页面。在尝试了使用部分弱密码发现无法破解并显示。小宁发现一个网页,但却一直不对密码。,根据题目中所说flag的形式进行组合,得到flag!,直接打开源代码,发现是一部分js代码。在调试过程中发现不论入什么,经过分析代码,这串值其实就是。,这里我们就不再深究。
攻防世界(WEB) simple_js
qq_54929891的博客
08-25 1372
从这个标题来看,考的点应该是跟JavaScript有关的,肯定一进去必须要打开F12,因为html css JavaScript都是跟网页有关的 一进去叫我们密码,随便一个看看 果不其然是错的(感觉自己傻傻的) ,点确定,然后打开F12找一下有没有线索 发现script里面有一大串代码,想必然肯定是获得密码的关键所在,为了看的舒服,我把代码复制到了visualcode里面 在这里我就将我的思路说一下,因为我之前没有接触过类似的题目,因此我使用的最笨的方法将这段代码解析出来的..
simple_js-攻防世界
szhangliwenya的博客
04-07 1040
是 JavaScript 中的一个静态方法,用于从一系列 Unicode 码点(即数字)中创建一个字符串。该方法接受一个或多个数字作为参数,每个数字代表一个 Unicode 码点,然后返回一个包含这些码点对应字符的字符串。Unicode 是一种字符编码标准,它为每个字符(如字母、数字、标点符号等)分配一个唯一的数字码点。在JavaScript中,赋值表达式本身会返回被赋的值。上面其实就是将二个字符串对应的ascill对应字母的字符串。函数,并传入了一个加密的字符串(以十六进制形式表示)
攻防世界web_simple_js
电脑VAN家陈志强
01-14 314
小宁发现一个网页,但却一直不对密码(Flag格式为 Cyberpeace{xxxxxxxxx} ) 进入页面,密码试试 得到空白页面,查看源代码试一试,得到一个代码,放入代码格式化网站里得到 function dechiffre(pass_enc) { var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.split(','); var tab
攻防世界——新手区——simple_js
weixin_45864041的博客
08-19 254
打开题目。随意密码尝试登陆。 进入页面发现什么都没有,直接F12查看源码。可以看到很明显的有一串十六进制数字。我们猜测这个应该就是flag。 上python出成十进制看。 这应该是一串字符的acsII码 用python将其转化成字符串。 flag出现。 ...
攻防世界websimple_js
lshandel的博客
07-08 297
昨天发现一个非常有趣的ctf训练网站,虽然上面的题比较简单,但是感觉非常适合新手拿来练手,今天零零碎碎一天写了写web篇的内容,学习到了很多东西,看到csdn上这一篇题解不多,就发一下个人的解法。 首先分析一波 题目描述:小宁发现一个网页,但却一直不对密码(Flag格式为 Cyberpeace{xxxxxxxxx} )(ps:给出格式的话,很可能是提示我们flag剩下的内容藏在某个地方) 那么先打开网站 一进来就让密码,那么我们自然是随便一个然后看一波源码 源码内容如图,发现这个题目不讲武德,
攻防世界(CTF)~web-simple_js
海鸥先生的博客
05-08 569
题目介绍 看一下页面,直接弹出来一个框让我们入password 随便入了几个数字,得到这个回显 没啥大概思路,先看一下源码(F12) 仔细看了一下,发现两条可疑的数据 "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65" 这一串数字用ASCII(十进制)转一下发现就是我密码回显的那些字母 这一下思路就来了,是不是这串十六进制数字也是什么有用的信息,先转成十进制看一下 "\x35\x35\x2c\
攻防世界-web-simple js
wuh2333的博客
05-06 870
攻防世界webjs
攻防世界web新手题答案
最新发布
02-26
### CTF Web 新手题目解答 #### weak_auth 题目解析 面对弱验证类型的挑战,通常意味着存在某种形式的身份认证漏洞。在这种情况下,页面上没有显示验证码,这表明可以通过自动化工具尝试暴力破解用户名和密码组合[^...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值