bugku NaNNaNNaNNaN-Batman

这道题首先是开始下载了附件，用HTML改了后缀以后打开发现是一个登录框

 

 

不过这个登陆框输入什么提交都没有用，查看原发以后发现里面的源码有乱码，最后末尾使用eval执行。如果要看非乱码代码的话，就将eva改为alert（出现乱码因为html无法识别某些便编码，而alert就是用可以识别的编码将其表示出来）

 

 

 

得到了完整的源码

 

然后代码审计发现可以用两种方法做：

 

1、根据正则表达式，先满足长度为16，^是开始，$是结束，将其中的拼接起来后填入到输入框

 

 

 be0f23233ace98aa

 

 2、将这段代码截下来，直接用html打开

<script>

var t=["fl","s_a","i","e}"];

             var n=["a","_h0l","n"];

             var r=["g{","e","_0"];

             var i=["it'","_","n"];

             var s=[t,n,r,i];

             for(var o=0;o<13;++o){

             document.write(s[o%4][0]);s[o%4].splice(0,1)}

</script>

 

也得到了flag