XCTF攻防世界练习区-web题-simple_js

XCTF:利用JavaScript解密网页密码
最新推荐文章于 2024-05-09 02:07:57 发布
原创 最新推荐文章于 2024-05-09 02:07:57 发布 · 793 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一道XCTF攻防世界的Web题目,涉及JavaScript解密。题目要求通过查看网页源代码并理解JS代码来找出正确密码。解决方法包括使用F12或`view-source:`命令查看源码,发现并转化可疑字符串,以及利用谷歌浏览器处理数字到字符的转换。提供了相关参考链接以供深入学习。
部署运行你感兴趣的模型镜像

0x07 simple js

【题目描述】

小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )

【目标】

掌握有关js的知识。

【解题思路】

此题为常规题,真的很简单。简单来叙述一下吧。

F12查看网页源代码,仔细阅读js代码。(或者view-source:命令)

细心的同志可能会有和我一样的遭遇,也可能是网络不好,也可能是根本就无法查看。使用右键“查看页面元素”或者F12根本无法获取页面源码。

然后问题不大,使用之前我们提到的方法,view-source啊,view-source:http://111.198.29.45:51637/

查看到页面源码:

发现存在一串可疑的字符串,将其转化为对应的单个字符。通过上述的代码可以看出,处理的是pass字符的内容,实际上并没有处理传入参数pass_enc的值。那么我们将其改为传入的参数替换为pass,或者将pass注释了,将pass_enc赋值给pass,进行求值就ok了。

使用view-source是看到了源码,但是怎么在原文上改呢?说实话我已经看出代码的意义了。其实就是将数字转化为字符。但是还是由于本人比较懒,改用谷歌浏览器处理。

 

 

 

 

参考链接:

https://blog.youkuaiyun.com/God_XiangYu/article/details/100635198

https://www.cnblogs.com/kubbycatty/archive/2019/06/27/11100171.html

您可能感兴趣的与本文相关的镜像

Facefusion

Facefusion

AI应用

FaceFusion是全新一代AI换脸工具,无需安装,一键运行,可以完成去遮挡,高清化,卡通脸一键替换,并且Nvidia/AMD等显卡全平台支持

XCTF simple_js
weixin_43982276的博客
10-11 212
XCTF simple_js 这个 应该算自己做了80%以上 但是还是差了一点点 还是对自己不够自信再加上不能很好的读懂网页源码的缘故 发现 这样一串东西之后要敏感 将它放入vs里面 因为感觉到它是我熟悉的ASCII码 于是 然后啊!! 只要将其复制下来转换为字母即可(我就是懒了这一步直接去看的writeup) 得解 ...
CTF攻防世界WEB精选基础入门:simple_js
最新发布
weixin_46417756的博客
10-11 866
本文介绍了JavaScript的基础语法和解思路。主要内容包括:1. JavaScript基本结构,如嵌入HTML方式、变量声明(var/let/const)、数据类型(基本类型和引用类型)、运算符和控制结构;2. 函数定义、对象和数组的使用方法;3. 事件处理机制。通过分析一个密码解密函数的示例代码,展示了如何将16进制编码转换为ASCII编码,最终得出密码"Cyberpeace{786OsErtk12}"的过程。文章结合理论知识和实际案例,帮助读者理解JavaScript代码的执行
XCTFsimple_js
小白渣的博客
09-27 1137
打开之后,直接查看源代码,发现一串JS代码 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.split(','); var tab2 = pass....
XCTF simple js
YenKoc的博客
12-03 382
思路分析: 进入靶场, 随便入,肯定是错误的,f12看下源码,结合目说js,把js代码单独拿出来看看。 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.split(',')...
13、XCTF simple_js
山兔的博客
09-16 212
小宁发现一个网页,但却一直不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 打开网站就是让我们密码,那就呗, 他说我FAUX PASSWORD HAHA, 那应该就是错了呗。 F12源码,发现了一串代码 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.s
攻防世界练习——Web引导模式(三)(持续更新)
qq_48550824的博客
10-16 1459
它能解析 .git/index 文件,并找到工程中所有的:文件名和文件 sha1,然后去 .git/objects/ 文件夹下下载对应的文件,通过 zlib 解压文件,按原始的目录结构写入源代码。下载完成后,因为看到前面的参考博客里是用的__init__.py文件来下载,于是在我下载的githacker-master的目录下的lib目录中找到了这个文件,按照那篇博客上的命令还是没法下载。/etc/passwd ,但是发现。在博客3讲的拼接不是很详细,没太懂这样构造之后在代码中是怎么拼接的,于是看了博客1.
CTF-攻防世界web新手入门篇
热门推荐
weixin_45923850的博客
04-14 1万+
CTF练习
攻防世界web练习目解答
weixin_46262057的博客
03-22 5015
xctfweb练习目解答。
「干货」XCTF Web安全入门练习靶场全部通关教程
橙留香Park的博客
04-13 7832
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...
XCTF_Web_新手练习simple_js(源代码详解)
1stPeak's Blog
06-13 1万+
第二simple_js (源代码详解) 目标: 掌握有关js的知识 Writeup 进入环境后我们遇到了密码,于是我们随便一个密码,点击确定 之后啥也没有,于是我们看看源代码,哎,有东西,不错呦 <html> <head> <title>JS</title> <script type="text/javascrip...
XCTF攻防世界web新手练习_ 5_simple_js
silence1_的博客
04-28 1万+
XCTF攻防世界web新手练习—disabled_button 目为simple_js,提示信息: 打开目,弹出一个弹窗,提示密码 随便一个,提示入错误,之后查看源码,得到js源代码,是一个解码函数 分析源码,发现随便入什么都会出 pass="70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"对应的字符 用pyt...
【CTF WebXCTF GFSJ0480 simple_js Writeup(JS分析+ASCII码)
HEX9CF的技术博客
05-09 644
小宁发现一个网页,但却一直不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )
CTF--web 攻防世界 simple_js
weixin_30457065的博客
08-26 828
阅读源码 无论入什么都是错误的;参考博客 无论入什么都出 javascript formcharcode()方法:将Unicode编码转换为字符串 解源码 转载于:https://www.cnblogs.com/qing123tian/p/11415069.html...
攻防世界-Web-新手-simple_js
weixin_31610083的博客
10-11 484
目描述】 小宁发现一个网页,但却一直不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 【附件】 在线场景 【过程及思路】 打开在线场景后弹出入框: 尝试入了几次后,发现都是这个结果。 老样子,先查看网页源码。 经过代码审计,发现很坑的一件事:入到入框的内容经过js的函数window.prompt来保存到变量h中,之后网页直接将h经过dechiffre()这个函数一顿操作,然后把一个不知道什么东西返回并弹出,最后...
【网络安全 | CTF】攻防世界 simple_js详析
等风来
05-21 6909
被全局污染(我们并没有定义变量 p,JavaScript 将自动为我们创建一个全局 p 变量),函数每次都会返回上一次的解密结果(即undefined)目描述:小宁发现一个网页,但却一直不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )所以整个代码,是没有逻辑点可以绕过的,我们可以把整个代码当作无。的值为 undefined。而从第二次开始,因为变量。由于代码在解密函数开头并没有将全局变量。初始化,所以第一次运行时,变量。这里面应该是flag。再进行ASCII编码。
攻防世界 WEB 新手练习 writeup 007-012
ChaoYue_miku的博客
09-02 1548
007 simple_php 难度系数:1.0 目来源: Cyberpeace-n3k0 目描述: 小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 0x01 打开网页 有一段PHP源代码 0x02 进行代码审计 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numer
攻防世界-web-simple js
wuh2333的博客
05-06 908
攻防世界webjs
攻防世界web新手解(详细)
weixin_46342913的博客
08-21 7060
9.simple_php 目描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 Knowledge PHP中, ==是不严格的比较,会先进行类型转换再比较, ===是全等,要求类型相同且值相等 解思路: 阅读代码发现要满足a==0且if a为真,b不是数字且b>1234才会返回flag, 由可知,我们只需构造一个a类型转化后为0且为真,b不是数字且类型转换后大于1234,用get方式提交,即可得flag。 这里构造a=0ss,b=2267s。 如图: Cyberpeac
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值