i春秋Hello World

破解JS代码谜题

最新推荐文章于 2022-11-12 11:10:10 发布

转载最新推荐文章于 2022-11-12 11:10:10 发布 · 689 阅读

1 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/wosun/p/11527770.html

文章标签：

#数据结构与算法

本文记录了一次通过分析打乱的JS代码寻找隐藏flag的过程，利用diff工具对比不同版本的JS文件，最终在修改处发现了加密的flag。文章还提到了使用githack工具尝试从.git泄露中获取线索的方法。

打开只有一句hello world，直接查看源码，发现一个flag.xmas.js文件

试试直接访问http://106.75.72.168:9999/flag.xmas.js http://106.75.72.168:9999/flag.xmas 访问不了

再试试http://106.75.72.168:9999/flag.js发现下载下来这个js文件了

是一个打乱了的js文件。。。。。没有耐心去看这么多打乱的js代码

可能是.git文件泄露

直接用githack去抓一下试试

依次打开检查

发现flag.php中似乎有蹊跷，最后一个cipher的值很奇怪，怀疑是加密的，试试解密，不成功，上面那个变量c提示我们flag不在这里。。。。。

根据其他wp得知，flag在js的修改处

我们在kali linux上使用diff来对比两个文件

diff的用法（https://blog.youkuaiyun.com/zhangmeimei_pku/article/details/79483324）（这里其实不用看那么多，直接diff就行了）

flag{82efc

37f1cd5d4

636ea7cadc

d5a814a2

发现flag

flag{82efc37f1cd5d4636ea7cadcd5a814a2}

转载于:https://www.cnblogs.com/wosun/p/11527770.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30701575

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

i 春秋第二届春秋欢乐赛 web HelloWorld （.git源码泄露问题）

Zeker62的博客

08-31

471

这个靶场拿到手上只有一个helloworld 通过源码发现，存在一个flag.xmas.js文件但是我们访问这个文件是失败的，那尝试flag.js文件发现成功访问，但是通过坎坷的阅读发现并没有什么有用的信息：除了比心一无所有那既然找不到什么有用的信息，使用扫描工具尝试进行扫描发现大量git文件那么这题考的就是git源码泄露问题使用GitHacker进行扫描：发现三个文件，其中有个...

CTF-（i春秋春秋欢乐杯 web hello world）

weixin_44089266的博客

04-11

2959

题目传送门challge 打开网站发现只显示了Hello word，打开开发者工具，network模块，发现有一个404 考虑是否有flag.js文件，输入查询后，发现由于代码过长，考虑换种思路，经查阅，此种可能git源码泄露，一般会有 ./git/config文件，尝试访问，确实存在. 然后在kali上安装Git_Extract工具，用来下载该站源码。安装Git_Extract过程如下 g...

参与评论您还未登录，请先登录后发表或查看评论

i春秋第二届春秋欢乐赛 Hello World

feng的博客

10-03

1032

前言有一说一，这个题目真的阴间，心态快被搞炸了。 WP 进入环境之后抓包，看源码，看是否有.bak文件都不行，用dirsearch扫一下，发现存在git泄露。然后使用githack，发现了三个文件：发现flag.php里面是一串关于加密的东西，我以为flag需要我来进行解密，然后。。。。我人就没了。。。这题的githack有坑，本题的考点原意是.git/logs/HEAD文件的利用，而githack并没有对其中的hash提取，因此遗漏了部分的object。简单的来说就是有重要文件githack没有提

i春秋 Web Hello World

cc菜的一批

12-28

1082

题目名称：Hello World 类型：Web 难度：★★★☆☆ 题目地址：链接解题方法如下：打开网站，F12看HTML信息。打开这个文件，却显示404不存在，那么猜测可能存在git源码泄露。Python工具跑一下。果然存在git源码泄露，使用Git_Extract 工具，下载出源码。我们发现有俩个flag.js 文件。使用beyond compare工具，对比俩个文本。点...

i春秋登录

weixin_30701575的博客

09-16

1331

打开是个普普通通的表单提交网页查看源码，没什么东西抓包试试再没找到什么有用的信息尝试注入用户名admin’or ‘1’=’1 密码随便输弹出密码错误再试试admin’or ‘1’=’2 弹出用户不存在说明这里存在注入点，而且是盲注构造payload：admin' or user() regexp '^a'%23 （使用java的正则表达式来进行盲...

i春秋第二届春秋欢乐赛 Web-Hello World

qq_34106499的博客

01-20

1323

1. git源码泄露问题 2. 了解git源码泄露的原理及其漏洞利用 3. 待进一步掌握。。。

i春秋第二届春秋欢乐赛 classical writeup

hanjinrui15的博客

10-05

1355

i春秋第二届春秋欢乐赛 classical writeup 第一步：题目给出的提示根据题目我们可以了解这道题应该是一个古典密码的题目，但是古典密码太多了我们如何知道是什么？看题目给出的附件是一个很长很长的乱序字符串，我们可以想到用词频分析一下：发现里面有一段不一样的信息：LyjtL3fvnSRlo2xvKIjrK2ximSHkJ3ZhJ2Hto3x9 像是base64解码能够做出来，但是发现...

i春秋ctf练习

sparename的博客

04-24

4918

类型：Misc 题目名称：签到题类型：Misc 题目名称：所以这是13点吗类型：Misc 题目名称：嘀嘀嘀类型：Misc 题目名称：山岚类型：Misc 题目名称：签到题2 类型：Misc 题目名称：XX 类型：Misc 题目名称：贝丝家族类型：Misc 题目名称：敲击类型：Misc 题目名称：签到题3 类型：Misc 题目名称：小常识类型：Misc 题目名称：回归原始

Qsort（Hello World!）

NotPerfect-EOF

04-13

981

Hello World! Time Limit: 1000MS Memory limit: 65536K 题目描述 We know that Ivan gives Saya three problems to solve (Problem F), and this is the first problem. “We need a programmer to he

Hello-World-by-FlagerCraft:GITHUB中的第一行代码

03-17

Hello-World-FlagerCraft GITHUB中的第一行代码

buuctf——（MRCTF2020）hello_world_go

yhfgs的博客

06-06

595

1.查壳。无壳，64位。

WP 4 i春秋_2017年春秋欢乐赛

segOt

04-20

4635

时间象棋时间多线程、爆破这道题目给出如下源码<?php header("content-type:text/html;charset=utf-8"); '天下武功唯快不破'; setcookie('token','hello'); show_source(__FILE__); if ($_COOKIE['token']=='hello'){ $txt = file_get_cont

Hello World

该博客暂停使用

12-15

749

描述这是学习每种程序设计语言的第一个实例。输出Hello World，注意大小写。输入无输出Hello World解析：print("Hello World")

ctf夺旗赛

m0_63017769的博客

11-12

7651

好久以前做过的ctf

i春秋第二届春秋欢乐赛RSA256writeup

iqiqiya的博客

03-15

5394

i春秋第二届春秋欢乐赛writeup下载之后进行解压发现四个文件0x01看到题目是RSA的又看到public.key 所以直接用kali linux的openssl0x02可以看到e就是Exponent的值而n的十六进制为Modules 我们用python转成十进制0x03 再将n进行因式分解来得到我们的p和q (推荐使用http://factordb.com/)0x04最后一步我用的...

网络端口类型

zbh_pro的博客

05-19

622

网络端口　　计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，如：USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。　　按端口号可分为3大类：　　（1）公认端口（Well Known Ports）：从0到1023，

IceCTF2016-部分WP

xuqi7

08-27

9063

HelloWorld! 直接提交即可 IceCTF{h3l10_wr0ld} Spotlight 查看源码，在spotlight.js中发现flag IceCTF{5tup1d_d3v5_w1th_th31r_l095} Allyour Base are belong to us 二进制转ascii即可 IceCTF{al1_my_bases_are_you

i春秋一些题目

qq_30435981的博客

08-24

2288

VID 查看网页源代码发现有个文件路径访问的看到了有三个参数用get方式提交在url后提三个参数和对应的值就看到了一个1chunqiu.zip 访问就可以下载文件这里需要进行代码审计先看log.php界面 if(isset($_POST['username']) && isset($_POST['password']) &am...

iPhone入门教程：如何开发第一个HelloWorld程序

对于HelloWorld程序，界面非常简单，通常只需要一个标签（Label）控件来显示"Hello, World!"文本。在Swift中，可以使用Storyboard或Xib文件来布局界面，而在Objective-C中，通常需要手动编写代码来实现界面布局。 #...