攻防世界 - Web - Level 3 | simple_js

已于 2025-05-01 11:43:51 修改
阅读量1.2k 收藏 7
点赞数 36
CC 4.0 BY-SA版权
分类专栏: 网络安全 — 靶场笔记合集 文章标签: 前端 javascript 开发语言 网络安全 ctf
于 2025-01-01 06:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73360524/article/details/144805534

🌟 关注这个靶场的其它相关笔记:CTF 靶场笔记 —— 攻防世界(XCTF)· 过关思路合集

0x01:考点速览

本题考察的是 JS 的代码审计,以下是你需要了解的知识点:

  • String.fromCharCode() -> 将接收的 Unicode 编码转换成字符或字符串

0x02:Write UP

从题目来看,本题考查的就是一个前端 JS 的代码审计:

进入靶场,直接弹出一个框框,让我们输入 password,这里我们随便输入:

提示我们是假的密码,这里我们忽略,查看目标代码:

好了,接下来就是紧张刺激的代码审计了,下面是 1.0 版本的审计结果:

 <script>
     function dechiffre(pass_enc) {
         var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; // 一串神秘的数字
         var tab = pass_enc.split(','); // 把输入的密文转换成数组
         var tab2 = pass.split(',');    // 把 pass 转换成数组
         var i, j, k, l = 0,
             m, n, o, p = "";
         i = 0;
         j = tab.length;         // j = 输入的密文数组的长度
         k = j + (l) + (n = 0);  // k = j + l + ( n = 0) = j + 0 + 0 = j -> 狗的,k 的大小和也等于输入密文的长度
         n = tab2.length;        // n = pass 数组的长度
         for (i = (o = 0); i < (k = j = n); i++) {   // o 转换为了 number 型,k,j 的长度也重新变为了 pass 数组的长度
             o = tab[i - l];     // o = tab[i - l] -> l 的值就没变过 -> o = tab[i] -> 依次取出我们输入的密文数组中的元素
             p += String.fromCharCode((o = tab2[i])); // o = tab2[i] -> 依次取出 pass 数组中的元素,并转换为字符,追加到 p 后
             if (i == 5) break;  // 取 5 个元素后,跳出循环
         }
         for (i = (o = 0); i < (k = j = n); i++) {   // k,j 的长度依旧为 pass 数组的长度
             o = tab[i - l]; // 同上个循环一样
             if (i > 5 && i < k - 1) // k 为 pass 数组的长度, k-1 为 pass 数组最后一个元素的位置 -> < k -1 -> 对方根本没想过要取出最后一个元素
                 p += String.fromCharCode((o = tab2[i]));    // 取出 pass 数组中下标从6到倒数第二个元素,并转换为字符,追加到 p 后
         }
         p += String.fromCharCode(tab2[17]); // 单独取一个 17 ? -> 纯纯恶心人,你数数 pass 中有 18 组数字,最后一个的下标就是 17
         pass = p;
         return pass;    // 返回 pass 密文
     }
     // String["fromCharCode"]() -> String.fromCharCode() 的另一种写法,该方法接收一个或多个 Unicode 字符编码,返回一个字符串。
     String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));
  
     h = window.prompt('Enter password'); // window.prompt() 获取用户的输入赋值给 h
     alert(dechiffre(h)); // 调用 dechiffre() 函数并传入 h 作为参数 -> 将最终结果弹出
 </script>

通过 1.0 的代码审计,我们发现了,其最终的输出和我们的输入没有任何关系,另外,它返回的结果也只是把预定的 pass 中的数组转换为字符后的结果,所以上面的代码完全可以简化为下面的样子:

 <script>
     function decode(pass) {
         var pass_array = pass.split(",");   // 将 pass 按 , 号隔开
         var result = "";
         for (i = 0; i < pass_array.length; i++) {
             result += String.fromCharCode(pass_array[i]);
         }
         console.log(result);
     }
     var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
     decode(pass);
 </script>

其输出的值,和嘲讽我们的值是一样,其实动动脑也能发现,pass 后面的两个数字为 “72,65”,72 可能没法一下子反应,但 65 不就是 A 的 ASCII 码值嘛。

Ok,分析完目标狗的很的加密函数,下面问题就是正确的密钥在哪里?我们可以发现,目标中存在一大串神秘的以 “\x” 开头的字符,并且也同样调用了 dechiffre () 函数,只不过没输出出来。

看到 “\x” 其实很简单就能联想到十六进制字符,那我们就尝试把十六进制字符转成字符串看看是啥(这里我使用的还是开发者工具里的 Console,里面会自动转换):

可以发现,其转换完成后也是一串数字,还是一串用 “,” 号分隔的数字,直接传入我们编写的解密函数中:

其实已经拿到 Flag 了,别忘了题目一开始的提示(Flag 的格式为 Cyberpeace {xxxxxxxxx})。

不知道为啥,写这道题目让我有一个感慨:一个东西,外围防御做的越好,说明他的内部越薄弱。本题用花里胡哨的代码扰乱我们的思路,但其实只做了两件事,把密码转成 ASCII 码值,再把 ASCII 码值转成十六进制,对 Pwn 熟悉的小伙伴估计不用看 JS 代码,凭借对密码格式的熟悉,两部就解出来了(上面写函数的过程完全可以省略的)。

0x03:参考资料

网络安全 | CTF攻防世界 simple_js 解题详析
等风来
05-21 6775
被全局污染(我们并没有定义变量 p,JavaScript 将自动为我们创建一个全局 p 变量),函数每次都会返回上一次的解密结果(即undefined)题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )所以整个代码,是没有逻辑点可以绕过的,我们可以把整个代码当作无。的值为 undefined。而从第二次开始,因为变量。由于代码在解密函数开头并没有将全局变量。初始化,所以第一次运行时,变量。这里面应该是flag。再进行ASCII编码。
219-6-3Google浏览器书签备份
qq_43046057的博客
06-03 3885
WAF 创建时间 2019-03-11 12:45:27 最后修改 2019-04-03 14:02:50>> 书签名称 链接 添加时间 WEB漏洞测试(二)——HTML注入 & XSS攻击 - CSDN博客 http://www.secsky.cn/216.html 2018-05-15 10:45:24 ModSecurity介绍 - CSDN博客...
攻防世界--simple_js
HEAVEN569的博客
03-17 2992
题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 打开网址,就一个密码输入框,啥都没有,尝试随便输入一个密码,报错。 ctrl+U 查看源代码 <html> <head> <title>JS</title> <script type="text/javascript"> function dechiffre(pass_enc){ ......
CTF | WEB】004、攻防世界WEB题目之simple_js
韩非雨的博客
08-18 821
String["fromCharCode"] 这个语句是一种非标准语法的写法,它实际上是等价于标准语法中的 `String.fromCharCode。String.fromCharCode()函数用于从一些Unicode字符值中返回一个字符串,String.fromCharCode()方法的返回值为String类型,其返回值为Unicode数值所表示的字符串。
web安全-ics-06-攻防世界(详解)
最新发布
2303_80806493的博客
05-12 381
在云平台报表中心,设备管理基础服务的数据被删除,仅留下一处入侵者痕迹。通过分析,发现报表中心功能的URL后缀为index.php?id=1,疑似存在SQL注入漏洞。初步测试未发现URL变化,转而尝试爆破id值。使用Burp Suite对id值进行1-10000的爆破,发现id=2333的响应长度与其他不同。访问id=2333后,成功获取flag:cyberpeace{2e09d93151b515ae1e1cc4529081a2b8}。
攻防世界-simple_js
weixin_49539962的博客
08-23 365
进制转换就是,也是一串数字,那把这两串数字都拿去转ASCII码。js就看源代码,pass是数字,下面还有一串十六进制的编码。
攻防世界——simple_js
XYZCG的博客
09-06 588
梳理一遍,我们可以得知中间那一大串循环的作用就是将数组的值作为十进制转为ASCII,结果为FAUX PASSWORD HAHA。但是pass_enc只在最初起了作用,而这个结果也不是我们要的,那么答案就极有可能在最下面的那一长串里。题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )将其16进制转换为10进制后,再将其转为ASCII后得到答案786OsErtk12。这是一个博主写的,我觉得整理得很好。
攻防世界(WEB)——simple_js
NanGuai的博客
10-21 481
因此这部分代码其实是一部分欺骗性代码,目的就是为了误导我们。有兴趣的同学可以再去剖析一下这部分代码的具体过程,其实最终结果就是把那一长串转换为。根据题目名称可以看出来这道题需要根据js来解决。打开网页,是一个需要输入密码登录的页面。在尝试了使用部分弱密码后发现无法破解并显示。小宁发现了一个网页,但却一直输不对密码。,根据题目中所说flag的形式进行组合,得到flag!,直接打开源代码,发现是一部分js代码。在调试过程中发现不论输入什么,经过分析代码,这串值其实就是。,这里我们就不再深究。
simple_js-攻防世界
szhangliwenya的博客
04-07 1040
JavaScript 中的一个静态方法,用于从一系列 Unicode 码点(即数字)中创建一个字符串。该方法接受一个或多个数字作为参数,每个数字代表一个 Unicode 码点,然后返回一个包含这些码点对应字符的字符串。Unicode 是一种字符编码标准,它为每个字符(如字母、数字、标点符号等)分配一个唯一的数字码点。在JavaScript中,赋值表达式本身会返回被赋的值。上面其实就是将二个字符串对应的ascill对应字母的字符串。函数,并传入了一个加密的字符串(以十六进制形式表示)
给大家分享一篇 Python:渗透测试开源项目「源码值得精读」
管彤python每日分享python技巧
12-28 1843
sql注入工具:sqlmap DNS安全监测:DNSRecon 暴力破解测试工具:patator XSS漏洞利用工具:XSSer Web服务器压力测试工具:HULK SSL安全扫描器:SSLyze 其他 Python 作为程序员的宠儿,越来越得到人们的关注,使用 Python 进行应用程序开发的越来越多。那么,在 2013 年有哪些流行的 Python 项目呢?下面,我们一起来看下。 私信小编001即可获取大量Python学习资料! 一、测试和调试 python_koans:Python Koans.
Python资源大全
zheng_ruiguo的专栏
03-01 7889
Python资源 Python 3.7.4 文档:https://docs.python.org/zh-cn/3.7/ 快速安装模块:pip3 install PyQt5 -i https://pypi.tuna.tsinghua.edu.cn/simple python开源项目及示例代码:https://www.cnblogs.com/dpf-learn/p/8053043....
Nexus私服安全加固指南:防御外部威胁的八大技巧
![Nexus私服安全加固指南:防御外部威胁的八大技巧]... # 摘要 本文详细介绍了Nexus私服在安全领域的应用及面临的挑战,并系统阐述了基础和高级安全加固措施,以确保系统的安全稳定运行。通过对用户认证、网
攻防世界新手入门】simple_js
David Max 的博客
09-01 802
小宁发现了一个网页,但却一直输不对密码。
攻防世界(WEB) simple_js
qq_54929891的博客
08-25 1372
从这个标题来看,考的点应该是跟JavaScript有关的,肯定一进去必须要打开F12,因为html css JavaScript都是跟网页有关的 一进去叫我们输入密码,随便输一个看看 果不其然是错的(感觉自己傻傻的) ,点确定,然后打开F12找一下有没有线索 发现script里面有一大串代码,想必然肯定是获得密码的关键所在,为了看的舒服,我把代码复制到了visualcode里面 在这里我就将我的思路说一下,因为我之前没有接触过类似的题目,因此我使用的最笨的方法将这段代码解析出来的..
攻防世界新手题——simple_js
qq_62248023的博客
10-26 2252
将tab2[i]转换为字符添加到p后;尝试使用这个作为flag发现错误,思考是否和String[“fromCharCode”] (dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));如果i>5且i<k-1,将tab2[i]转换为字符添加到p后。
simple_js(攻防世界
m0_70819573的博客
02-24 230
2.真正的密码在fromCharCode中,用python处理后再采用ascii编码,获取flag。需要对java有一定的了解。
攻防世界web新手之simple_js
qq_40481505的博客
05-07 9554
攻防世界web新手之simple_js 打开题目地址,查看源码,发现head里藏了一段js代码,于是考下来研究研究 function dechiffre(pass_enc) { var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; //0-17 var tab = pass_en...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Blue17 :: Hack3rX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值