这题考察JS代码审计,这题是真的坑,浪费时间的东西,这也太无聊了。这个 dechiffre()函数不管输入什么结果都是一样的,也就是说这是个干扰项,那密码还能在哪呢?下面一串16进制编码。难度系数:3(官方难度:3)…
XCTF simple js 思路分析: 进入靶场, 随便输入,肯定是错误的,f12看下源码,结合题目说js,把js代码单独拿出来看看。 functiondechiffre(pass_enc){varpass ="70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";vartab = pass_enc.split(',');vartab2 = pass.split(',');vari,j,k,l=...
simple_js xctf 攻防世界 web新手练习区 题目描述 点击进入题目场景后,看见一个可以输入的网页,由题目描述可以知道,不管输入什么密码都是错误的,都会返回 可以看见提示,faux password(假密码),所以这时查看一下网页源代码,此时发现在调试器那里有一个Js源码,根据题目提示,简单的Js,说明了这题主要是考查我们对JS代码...
ailx10:xctf-lottery(代码审计,弱相等) ailx10:xctf-simple_js(JS代码审计,16进制编码) 难度系数4:刷题路线 ailx10:xctf-unseping(代码审计,反序列化,字符绕过) ailx10:xctf-Web_python_template_injection(模版注入) ailx10:xctf-php_rce(think php 5,代码执行) ailx10:xctf-supersqli(SQL注入) ailx...
XCTF-web-新手区题目 自我总结用一:view_source一般都是先看源码。自己就出来了。 二:get_post用hackbar 继续 完成。 三:robots进去发现空白,什么都没有。根据题目robots...:disabled_button用查看器,把disabled="" 删除或者把dis删除变成abled=“” ,然后按钮就可以按了。 完成。 七:simple_js无论输入什么都...
12.simple_js 开屏弹窗,直接禁用js,查看源码,通过代码审计,发现真密码在最下面这是一串url编码,解码后又是一串ascii码,解码得到最终的flag 总结 新手区的这12道题目完全考验常识,是为了消除你对ctf的恐惧感,真正的ctf试题比这个难十倍以上,这12道题完全可以在10分钟内全部搞定,全当娱乐而已。 # 渗透测试 # web...
12.simple_js 1.首先随便输入一个密码。然后使用f12 查看源代码 2.然后进行分析代码。 3.使用python,将字符串转换为url编码 s="\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\...
XCTF Web 新手区012:simple_js 题目: WP: 打开网页 随便输入一个密码 只能看源码 看到红字pass=的字样,没错,这不是答案哈哈 这是干扰项,没什么用 主要看 即 \x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30...
Ezrender 题目主要源码如下 from flask import Flask, render_template, request, render_template_string,redirect from verify import * from User import User import base64 from waf import waf app = Flask(__name__,static_folder="static",template_folder="templates") ...
3.然后看到了flag.txt 4.然后看到了flag.txt的内容。 commadn_execution 1.根据提示,然后ping 127.0.0.1 本机地址,测试能否ping通。 2.然后使用&&语法,联合使用ls查询 3.然后使用../../.../home,查看home目录下的内容 4.然后使用联合语句使用cat查看flag.txt 12.simple_js 1.首先随便输入一个密码。然后使...