BugKu-CTF-web4 >> 看看源代码?

最新推荐文章于 2025-06-03 17:08:04 发布
最新推荐文章于 2025-06-03 17:08:04 发布
阅读量1.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36584013/article/details/105133052
本文介绍了一种从网页源代码中解码特定脚本的方法,通过组合并提交解码后的代码,成功获取了隐藏的Flag。此过程涉及源码分析、字符串解码和脚本评估。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先先看看题目

 

 

 直接看源码

 

 

 将 P1 P2 解码

<script>
var p1 = 'function checkSubmit(){var a=document.getElementById("password");if("undefined"!=typeof a){if("67d709b2b';
var p2 = 'aa648cf6e87a7114f1"==a.value)return!0;alert("Error");a.focus();return!1}}document.getElementById("levelQuest").οnsubmit=checkSubmit;';
eval(unescape(p1) + unescape('54aa2' + p2));escape
</script>

将代码进行组合

67d709b2b54aa2aa648cf6e87a7114f1

将代码提交得出flag

 

xyongsec
关注
Bugku——源代码
weixin_71914594的博客
10-21 608
CTF_Bugku——源代码
bugku-源代码
m0_62094846的博客
10-24 766
点开后,要查看源代码 猜测可能要输入的是flag,submit,Submit其中一个,但输入三个后都是显示“再好好看看” 然后,发现这样一串代码,猜测可以用url解密,得到下列解密信息 onsubmit=checkSubmit;'; eval(unescape(p1) + unescape('54aa2' + p2)); 由此看出,将两者连起来就能出现答案 67d709b2b54aa2aa648cf6e87a7114f1 但提交时仍然报错 再看题...
Bugku-源代码
qq_56611811的博客
05-16 468
这段代码将p1,54aa2和p2字符串拼接,并将其作为JavaScript 代码进行执行。
BugKu Web渗透之源代码
最新发布
cai_huaer的博客
06-03 170
把拼出来的字符串,拷贝进入网页中的输入框,再点击submit。复制p1和p2的值,还有 unescape内的url编码,去解码。unescape: 对escape() 编码的字符串进行解码。感觉p1和p2都比较可疑。这样显示应该是url编码。也就是执行解码后的函数。肯定是右键查看源代码
BugKu----------源代码
qq_45616570的博客
10-11 1076
BugKu----------源代码 解题过程 1.F12查看源代码,发现script代码,但是其中的两个变量需要使用url解码。 2.使用url在线解码进行解码,得到如下代码 var p1=function checkSubmit(){var a=document.getElementById("password"); if("undefined"!=typeof a){if("67d709b2b var p2=aa648cf6e87a7114f1"==a.value)return!0;alert
bugku ctf web4 (看看源代码吧)
热门推荐
qq_42777804的博客
08-13 1万+
  打开打开,刚刚有个sb问我借lol号玩,浪费时间 继续干正事   随便输入后,提示     再好好看看。。。 出题人语文肯定不好 ,,,应该是这个 ‘再’ 吧   那我们查看源码     将那么明显的两行   进行 unescape解密 &lt;script&gt; var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%...
BUGKU-CTF-WEB 源代码
m0_52484587的博客
07-30 761
最后,通过 document.getElementById() 方法获取 id 为 “levelQuest” 的元素,并将函数 checkSubmit() 赋值给其 onsubmit 事件,这样当表单被提交时,会调用函数 checkSubmit() 进行验证。如果变量 a 被定义,进一步判断变量 a 的值是否等于 “67d709b2b54aa2aa648cf6e87a7114f1”,如果是,则表示验证通过,返回 true,表示可以提交表单。eval 是运算函数,也就是将p1和54aa2以及p2拼接起来。
[Bugku] web-CTF靶场系列详解①!!!
muyuchen110的博客
07-30 1409
平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台,部分赛题采用动态FLAG形式,避免直接抄袭答案。
CTF BugKu 全网最详解(每日更)
2401_85783544的博客
07-30 1063
构造语句进行注入 flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}, 发现目录:app。因为规定只能上传jpg\png格式,所以我们将后缀改为jpg进行上传,上传之后发现了flag文件。然后用刚才的账号密码登录就会看到flag弹窗,将flag解码就会得到最后的flag了。然后我们先传入一个flag参数试试,发现页面可以显示被传入flag参数的值。查看flag文件,我们得到flag。
Bugku--CTF-- 1、本地管理员 2、网站被黑
记录笔记
07-07 1476
Bugku--CTF--1、本地管理员 2、网站被黑
[Bugku] web-CTF靶场系列系列详解④!!!
muyuchen110的博客
08-04 704
平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台,部分赛题采用动态FLAG形式,避免直接抄袭答案。
Bugku 源代码
weixin_63289925的博客
03-14 383
既然题目叫源代码,那就查看源代码 看到中间长的两大串就觉得不对劲,于是去使用ESCAPE解密,读懂里面的意思 看到后面的一串执行,pi+54aa2+p2(p1=67d709b2b,p2=aa648cf6e87a7114f1),所以最后得到67d709b2b54aa2aa648cf6e87a7114f1输入到框框里执行即可得到到flag ...
bugku 源代码
weixin_63810302的博客
09-28 476
bugku 源代码
bugku web13 看看源代码
PRCORANGE的博客
04-08 262
我们来看看源代码,F12 url编码,解码 连起来为 eval( function checkSubmit(){ var a=document.getElementById("password"); if("undefined"!=typeof a){ if("67d709b2b54aa2aa648cf6e87a7114f1"==a.value) return!0;alert("Error"); a..
Bugku中的源代码
A272036149的博客
03-27 238
从审题中可以知道这道题一定跟网页的源代码有关。 所以进入场景 可以看到这样的页面 然后查看当前网页的源代码 可以看到他给出提示后 可以使用url的解码器将他给的信息进行解码 可以从中看到67d709b2b54aa2aa648cf6e87a7114f1这么一串代码(这里已经将%35%34%61%61%32放入到提示加入的地方了) 这个不是flag把这个解码得出的结果放入原来的界面 就可以得到真正的flag ...
BugKu_源代码
Kobalos的博客
08-06 965
访问目标地址,发现一个输入框,还有一个让查看源代码的提示 跟着提示走,右键查看源代码 可以看到9、10行是url编码后的代码,猜测这里就是解题的关键 复制下来,进行解密试试 注:http://tool.chinaz.com/tools/urlencode.aspx 根据源码中的逻辑提示进行拼接 将解密后的代码拼接好之后进行美化,方便查看 注:https://beautifier.io/ 根据代码,将if后的字符串写到题中的输入框里面,成功得到flag! ...
BUGKU-WEB-源代码
m0_73808498的博客
03-21 723
输入67d709b2b54aa2aa648cf6e87a7114f1得到flag。考点:url编码,unescape,eval函数。url编码常见格式为%+16进制内的字符串。Unscape~=url编码的解码函数。eval命令执行函数。
bugku web-源代码
weixin_46578840的博客
09-03 318
打开网站看到一个输入框 查看源代码发现很明显的加密 解密得到 将p1和p2合并起来,得到flag flag{879c01056e0322a95bd18220e2aadc3a}
BUGKU-WEB 源代码
天泽岁月
02-18 1767
BUGKU-WEB 源代码,解码URL,分析js代码即可。
bugku CTF alert
03-25
<think>好的,我需要回答用户关于BugKu平台上的CTF比赛中“alert”相关题目或教程的询问。首先,用户提供了三个引用来源,我需要仔细分析这些引用内容,看看它们如何与“alert”相关的问题联系起来。 根据引用[1],提到了JavaScript的三种弹出提示框,包括alert、confirm和prompt。其中alert用于显示提示信息,这可能与CTF题目中通过alert弹窗隐藏线索有关。例如,题目可能在前端使用alert弹出经过编码的信息,需要用户解码才能获取flag。 引用[2]中的例子是BugkuCTFweb7题,通过查看源代码发现Unicode编码,解码后得到flag。这说明在解决这类题目时,查看页面源代码和识别编码是常见的步骤。可能有些题目会利用alert弹窗来展示编码后的信息,需要选手解码。 引用[3]直接提到了一个场景,启动后出现flag的Unicode编码,解码为ASCII得到flag。这里alert可能被用来显示编码后的flag,选手需要处理弹窗中的内容,比如复制弹窗中的文本进行解码。 接下来,用户需要了解如何参与或获取相关教程。根据这些引用,可以总结常见的解题步骤:查看源代码、处理alert弹窗中的编码信息(如Unicode)、使用工具解码等。此外,可能涉及JavaScript代码分析,比如在alert的参数中隐藏编码后的字符串。 需要考虑用户可能的疑问点,例如如何触发alert弹窗,如何解码Unicode,或者如何绕过某些限制获取源代码。因此,在回答中需要覆盖这些步骤,并提供具体的例子或方法,比如使用浏览器的开发者工具查看源码,使用在线解码工具等。 另外,用户可能想知道更多的相关题目类型或进阶技巧,比如除了Unicode还有哪些编码方式常见,或者如何利用alert进行XSS攻击等。但根据现有引用,主要集中在Unicode解码和查看源码方面,因此需要保持回答的相关性,避免偏离已知信息。 最后,确保回答结构清晰,分步骤说明解决方法,并引用提供的资料作为支持。同时,生成的相关问题需要与alert题目相关,帮助用户进一步探索。</think>### BugKu CTF中与“alert”相关的题目解析 在BugKu CTF比赛中,“alert”相关题目通常涉及前端JavaScript弹窗隐藏线索或编码信息的处理。以下是常见解题思路及示例: --- #### 1. **查看页面源代码** - **步骤**:在题目页面右键选择“查看网页源代码”,或通过`view-source:`前缀直接访问(如`view-source:题目URL`)[^2]。 - **示例**:在题目**web7**中,源代码中可能包含Unicode编码的字符串,如: ```html <script> alert("\u0066\u006c\u0061\u0067\u007b...\u007d"); // Unicode编码的flag </script> ``` - **操作**:复制弹窗中的Unicode编码内容,使用在线工具(如[Unicode解码器](https://www.rapidtables.com/convert/number/unicode-to-ascii.html))解码。 --- #### 2. **处理alert弹窗中的编码信息** - **场景**:某些题目会通过`alert()`直接弹出编码后的flag。例如: ```javascript alert("flag{68d5caaa10c5d1007611859e57ad318d}"); // 明文flag(简单情况) ``` 或 ```javascript alert("\u0066\u006c\u0061\u0067\u007b...\u007d"); // Unicode编码的flag[^3] ``` - **操作**: 1. 手动触发弹窗(如访问页面时自动弹出)。 2. 复制弹窗中的文本,进行解码(如Unicode转ASCII)。 --- #### 3. **JavaScript代码分析** - **进阶题目**:可能需分析混淆后的JavaScript代码,找到触发`alert()`的逻辑。 - **示例**: ```javascript var encodedStr = "666c61677b...7d"; // Hex编码的字符串 var decodedStr = hexDecode(encodedStr); alert(decodedStr); ``` - **工具**:使用浏览器开发者工具(按F12)的“调试器(Debugger)”功能,逐步跟踪变量变化。 --- #### 4. **常见编码类型** - **Unicode编码**:如`\u0066`对应字符`f`。 - **Hex编码**:如`66 6c 61 67`对应`flag`。 - **Base64编码**:需通过在线工具或命令行解码。 --- ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值