码迷,mamicode.com
首页 > 其他好文 > 详细

flag_in_your_hand1

时间:2020-05-03 12:24:39      阅读:158      评论:0      收藏:0      [点我收藏+]

标签:uri   min   dex   ken   sci   show   rip   数字   逻辑   


给了两个 文件 index.html 和 一个js文件 ,考察js代码审计能力

首先借助浏览器来运行js 程序。用浏览器打开index.html,分析 js 代码: 首先无论在 token 输入框中输入什么字符串,getFlag() 都会算出一个 hash 值,

实际上是showFlag()函数中 ic 的值决定了 hash 值即 flag 是否正确。

那么在script-min.js中找到 ic 取值的函数 ck() ,找到一个 token 使得 ck()中ic =true即可。

token 是[118, 104, 102, 120, 117, 108, 119, 124, 48,123,101,120]每个数字减3 得到的ascii 码所对应的字符,

即security-xbu

可以利用浏览器的js 调试功能跟踪变量,逻辑梳理的会更快一些

在 token 处输入security-xbu ,点击Get flag!

出现You got the flag below!! ,

以及flag: RenIbyd8Fgg5hawvQm7TDQ


flag_in_your_hand1

标签:uri   min   dex   ken   sci   show   rip   数字   逻辑   

原文地址:https://www.cnblogs.com/lzkalislw/p/12821241.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!