flag_in_your_hand1

本文转载自查看原文 2020-05-03 11:26 883

给了两个文件 index.html 和一个js文件，考察js代码审计能力

首先借助浏览器来运行js 程序。用浏览器打开index.html，分析 js 代码: 首先无论在 token 输入框中输入什么字符串，getFlag() 都会算出一个 hash 值，

实际上是showFlag()函数中 ic 的值决定了 hash 值即 flag 是否正确。

那么在script-min.js中找到 ic 取值的函数 ck() ，找到一个 token 使得 ck()中ic =true即可。

token 是[118, 104, 102, 120, 117, 108, 119, 124, 48,123,101,120]每个数字减3 得到的ascii 码所对应的字符，

即security-xbu

可以利用浏览器的js 调试功能跟踪变量，逻辑梳理的会更快一些

在 token 处输入security-xbu ，点击Get flag!

出现You got the flag below!! ，

以及flag： RenIbyd8Fgg5hawvQm7TDQ

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 攻防世界 flag_in_your_hand1 JS - if(flag) if(!flag) flag合集 cursor: hand和cursor:pointer的区别 CSS属性中cursor:hand [转] On the contrary, in contrast, on the other hand用法区别 requires the FLAG_ACTIVITY_NEW_TASK flag Invalid left-hand side in assignment 手势估计- Hand Pose Estimation 手势估计- Hand Pose Estimation