XCTF simple js

最新推荐文章于 2025-10-11 00:00:00 发布
原创 最新推荐文章于 2025-10-11 00:00:00 发布 · 382 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

在这里插入图片描述
思路分析:
进入靶场,
在这里插入图片描述
随便输入,肯定是错误的,f12看下源码,结合题目说js,把js代码单独拿出来看看。

function dechiffre(pass_enc){
        var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
        var tab  = pass_enc.split(',');
                var tab2 = pass.split(',');var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length;
                        k = j + (l) + (n=0);
                        n = tab2.length;
                        for(i = (o=0); i < (k = j = n); i++ ){o = tab[i-l];p += String.fromCharCode((o = tab2[i]));
                                if(i == 5)break;}
                        for(i = (o=0); i < (k = j = n); i++ ){
                        o = tab[i-l];
                                if(i > 5 && i < k-1)
                                        p += String.fromCharCode((o = tab2[i]));
                        }
        p += String.fromCharCode(tab2[17]);
        pass = p;return pass;
    }
    String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));

    h = window.prompt('Enter password');
    alert( dechiffre(h) );

wdnmd,这个东西看的人脑壳痛,一大堆变量,没用到的,这里简化一下代码。

function dechiffre(){
var pass ="70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
var tab2=pass.split(",");
var i,n=tab2.length;
for(i=0;i<n;i++)
{
   p+String.fromCharCode(tab2[i]);
}
return p;
}

这里就是将ASCII码转换成字符串,同时我们发现在这里插入图片描述
这里已经有一个常量给我们了,说不定就是答案,但是参数是和pass还是有差距的,没事,用python操作一下
在这里插入图片描述
在这里插入图片描述
将这串换成pass变量里的值,执行js代码,得出flag,记得规范flag格式在这里插入图片描述
总结:看了看大佬的wp,发现实际上chr函数是可以接收10进制和16进制的,所以不需要变,也可以得出答案的

【网络安全 | CTF】攻防世界 simple_js 解题详析
等风来
05-21 6906
被全局污染(我们并没有定义变量 p,JavaScript 将自动为我们创建一个全局 p 变量),函数每次都会返回上一次的解密结果(即undefined)题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )所以整个代码,是没有逻辑点可以绕过的,我们可以把整个代码当作无。的值为 undefined。而从第二次开始,因为变量。由于代码在解密函数开头并没有将全局变量。初始化,所以第一次运行时,变量。这里面应该是flag。再进行ASCII编码。
「干货」XCTF Web安全入门练习靶场全部通关教程
橙留香Park的博客
04-13 7819
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...
XCTF攻防世界练习区-web题-simple_js
果冻先生的专栏
09-24 2163
0x07 simple js 【题目描述】 小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 【目标】 掌握有关js的知识。查看页面源码,了解js和读懂代码。 【解题思路】 F12查看网页源代码,找到index文件,仔细阅读js代码。(或者view-source:命令) 先输入一个password厂商一下返回的结果。 查看...
ctf-攻防世界-web:simple_js
一只菜鸟的博客
11-08 1154
题目为simple_js,说明是前端代码。 打开环境,发现输入什么密码都会提示密码错误。右键查看源代码,发现一段js代码 js代码中有一堆可疑字符串,\x开头,看来是16进制。 转换得到一堆数字: 55,56,54,79,115,69,114,116,107,49,50 目测是ASCII编码,解码得到flag,提交时注意格式为Cyberpeace{xxxxxxxxx} ,即Cyberpeace{786OsErtk12} 16进制转换:https://www.jb51.n...
CTF攻防世界WEB精选基础入门:simple_js
最新发布
weixin_46417756的博客
10-11 860
本文介绍了JavaScript的基础语法和解题思路。主要内容包括:1. JavaScript基本结构,如嵌入HTML方式、变量声明(var/let/const)、数据类型(基本类型和引用类型)、运算符和控制结构;2. 函数定义、对象和数组的使用方法;3. 事件处理机制。通过分析一个密码解密函数的示例代码,展示了如何将16进制编码转换为ASCII编码,最终得出密码"Cyberpeace{786OsErtk12}"的过程。文章结合理论知识和实际案例,帮助读者理解JavaScript代码的执行
XCTFsimple_js
小白渣的博客
09-27 1137
打开之后,直接查看源代码,发现一串JS代码 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.split(','); var tab2 = pass....
XCTF_simple_js
TA不懒,但还没有添加简介
01-07 2249
XCTF_simple_js
adworld.xctf-web-新手练习区刷题
BROTHERYY的博客
05-07 1221
1.View Source 根据题目,就能猜到,此处是查看页面源码,在查看的过程中发现右键不能使用了,那就用F12吧~ 2.Robots 这题是考察Robots协议,访问的时候页面是一片空白,直接输入robots.txt 在地址栏输入robots.txt会得到f1ag_1s_h3re.php,尝试直接访问这个php文件。 3.Backup 对常用的备份文件名进行测试*.php~ or ...
攻防世界XCTF—web入门题知识点、进阶提高题Writeup
AugenStern的博客
08-21 1240
WriteUpXCTF-Web新手入门区view_sourceget_postrobotsbackupcookiedisabled buttonsimple jsxff refererweak authwebshellcommand executionsimple_php高手进阶区 XCTF-Web 2016 年全国大学生信息安全竞赛开始设立创新实践技能赛,采取的就是传统的 CTF 赛制。在《2016年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面,值得参考。 系统安全。 涉及操作系统和
xctf新手练习https://adworld.xctf.org.cn/task/task_list?type=misc&number=1&grade=0
weixin_30438813的博客
05-23 3366
view source Q:无法用鼠标右键查看原码,怎么办?A:浏览器地址栏在网址前输入 view-source: 即可查看源码 get post Q:用 get 提交 a=1,用 post 提交 b=2A:url后加 ?a=1,用 hackbar 提交b=2 robots Q:robots.txtA:域名后加 robots.txt backup Q:找到网站的备份文件A:暴力域名。...
XCTF simple_js
weixin_43982276的博客
10-11 212
XCTF simple_js 这个题 应该算自己做了80%以上 但是还是差了一点点 还是对自己不够自信再加上不能很好的读懂网页源码的缘故 发现 这样一串东西之后要敏感 将它放入vs里面 因为感觉到它是我熟悉的ASCII码 于是 然后啊!! 只要将其复制下来转换为字母即可(我就是懒了这一步直接去看的writeup) 得解 ...
XCTF攻防世界web新手练习_ 5_simple_js
silence1_的博客
04-28 1万+
XCTF攻防世界web新手练习—disabled_button 题目 题目为simple_js,提示信息: 打开题目,弹出一个弹窗,提示输入密码 随便输入一个,提示输入错误,之后查看源码,得到js源代码,是一个解码函数 分析源码,发现随便输入什么都会输出 pass="70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"对应的字符 用pyt...
13、XCTF simple_js
山兔的博客
09-16 211
小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 打开网站就是让我们输密码,那就输呗, 他说我FAUX PASSWORD HAHA, 那应该就是输错了呗。 F12源码,发现了一串代码 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.s
XCTF(新手练习) Web 之 simple_js
qq_43230425的博客
09-22 539
simple_js 附上题目链接:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5067&page=1 点开题目场景后 任意输入一个密码,比如111,结果出现弹窗 查看网页源代码,发现里面有一段JS代码: 将JS代码提取出来为: function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,8
XCTF_Web_新手练习区:simple_js(源代码详解)
热门推荐
1stPeak's Blog
06-13 1万+
第二题:simple_js (源代码详解) 目标: 掌握有关js的知识 Writeup 进入环境后我们遇到了输入密码,于是我们随便输入一个密码,点击确定 之后啥也没有,于是我们看看源代码,哎,有东西,不错呦 <html> <head> <title>JS</title> <script type="text/javascrip...
【CTF Web】XCTF GFSJ0480 simple_js Writeup(JS分析+ASCII码)
HEX9CF的技术博客
05-09 643
小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )
CTF--web 攻防世界 simple_js
weixin_30457065的博客
08-26 828
阅读源码 无论输入什么都是错误的;参考博客 无论输入什么都输出 javascript formcharcode()方法:将Unicode编码转换为字符串 解题源码 转载于:https://www.cnblogs.com/qing123tian/p/11415069.html...
2020-12-22
墨渊的博客
12-22 405
一、攻防世界 web 新手题 1。第十二题:考察JS代码审计 2.解题报告: 这个dechiffre()函数不管输入什么结果都是一样的,也就是说这是个干扰项,那密码还能在哪呢?下面一串16进制编码。 <script type="text/javascript"> function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
xctf backup
06-14
### XCTF备份方法与工具 XCTF(X-Code Technology Framework)通常指的是一个竞赛平台或技术框架,其备份方法和工具主要依赖于具体的实现环境。以下是几种常见的备份方法和工具,适用于XCTF或其他类似的技术框架。 #### 1. 数据库备份 在XCTF中,如果使用了数据库来存储用户信息、题目数据等关键内容,则可以采用以下数据库备份方法: - **mysqldump**:对于MySQL数据库,`mysqldump` 是一种常用的备份工具。它能够导出完整的SQL脚本,便于恢复和迁移[^2]。 ```bash mysqldump -u username -p database_name > backup.sql ``` - **pg_dump**:对于PostgreSQL数据库,`pg_dump` 提供了类似的备份功能[^3]。 ```bash pg_dump -U username -d database_name -f backup.sql ``` #### 2. 文件系统备份 XCTF的文件系统可能包含题目文件、日志文件和其他静态资源。这些文件可以通过以下工具进行备份: - **rsync**:用于同步本地或远程文件系统,支持增量备份,减少传输量[^4]。 ```bash rsync -avz /source/directory/ user@remote:/destination/directory/ ``` - **tar**:将文件打包并压缩为单个存档文件,方便存储和传输[^5]。 ```bash tar -czvf backup.tar.gz /path/to/files ``` #### 3. 容器化备份 如果XCTF运行在Docker容器中,可以使用以下方法备份容器状态: - **docker commit**:将当前容器的状态保存为镜像[^6]。 ```bash docker commit container_id new_image_name ``` - **docker save**:将镜像保存为可移植的归档文件[^7]。 ```bash docker save -o backup.tar new_image_name ``` #### 4. 配置文件备份 XCTF的配置文件通常包括服务启动参数、API密钥等敏感信息。可以使用Git等版本控制工具进行管理,并通过加密工具保护敏感数据[^8]。 - **git**:记录配置文件的历史变更,便于回滚和协作。 ```bash git add config_files git commit -m "Backup configuration" ``` - **gpg**:对配置文件进行加密存储,确保安全性[^9]。 ```bash gpg --output config.gpg --encrypt config.json ``` #### 5. 自动化备份工具 为了简化备份流程,可以使用以下自动化工具: - **cron**:在Linux系统中设置定时任务,定期执行备份脚本[^10]。 ```bash crontab -e # 添加如下行以每天凌晨2点执行备份 0 2 * * * /path/to/backup_script.sh ``` - **Ansible**:通过编写Playbook实现跨服务器的备份任务自动化[^11]。 ### 示例代码 以下是一个简单的Python脚本,用于备份XCTF的关键文件并上传到远程服务器: ```python import os import shutil import paramiko def backup_xctf(source_dir, target_dir): if not os.path.exists(target_dir): os.makedirs(target_dir) shutil.make_archive(os.path.join(target_dir, 'xctf_backup'), 'zip', source_dir) def upload_to_remote(local_file, remote_path, ssh_host, ssh_port, ssh_user, ssh_key): ssh = paramiko.SSHClient() ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) ssh.connect(ssh_host, port=ssh_port, username=ssh_user, key_filename=ssh_key) sftp = ssh.open_sftp() sftp.put(local_file, remote_path) sftp.close() ssh.close() # 调用示例 backup_xctf('/var/xctf', '/tmp/backups') upload_to_remote('/tmp/backups/xctf_backup.zip', '/remote/backups/xctf_backup.zip', 'example.com', 22, 'user', '/path/to/key') ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值