攻防世界 WEB 高手进阶区 tinyctf-2014 NaNNaNNaNNaN-Batman Writeup
攻防世界 WEB 高手进阶区 tinyctf-2014 NaNNaNNaNNaN-Batman Writeup
题目介绍
题目考点
- 了解js代码(eval函数、splice函数)
- 了解正则
Writeup
下载附件打开,如图,目测是 一段js代码
复制的源码:
<script>_='function $(){e=getEleById("c").value;length==16^be0f23233ace98aa$c7be9){tfls_aie}na_h0lnrg{e_0iit\'_ns=[t,n,r,i];for(o=0;o<13;++o){
[0]);
.splice(0,1)}}} \'<input id="c"><
onclick=$()>Ok</
>\');delete _var ","docu.)match(/"];/)!=null=[" write(
s[o%4]
buttonif(e.ment';for(Y in $='
')with(_.split($[Y]))_=join(pop());eval(_)</script>
将文件打开方式 采用 浏览器打开 查看 是一个输入框+按钮
F12 查看页面源码 一眼看去基本啥也没有
回过头去js源代码分析:
- _等于一个$函数内容
_='function $()
- 一个输入框 (页面显示的输入框)
<input id="c">< onclick=$()>Ok</>\');
- 一个重要的函数
eval(_)
这里我查询了eval()函数功能
可见,eval()函数的参数是一个字符串,它将$()函数当作字符串执行了,非法操作导致页面乱码。因而页面html页面没有任何显示,只显示了input标签的内容,但是我们想让源代码正常显示出来,不进行执行,那么,我们就用到了alert弹窗(将eval函数改为alert),将乱码的$()函数源码完整显示出来。
修改源码,继续以浏览器打开,弹出源代码
整理如下:
function $(){
var e=document.getElementById("c").value; //**重点1**
if(e.length==16)
if(e.match(/^be0f23/)!=null)
if(e.match(/233ac/)!=null)
if(e.match(/e98aa$/)!=null)
if(e.match(/c7be9/)!=null){
var t=["fl","s_a","i","e}"];
var n=["a","_h0l","n"];
var r=["g{","e","_0"];
var i=["it'","_","n"];
var s=[t,n,r,i];
for(var o=0;o<13;++o){
document.write(s[o%4][0]);s[o%4].splice(0,1)} //**重点2**
}
}
document.write('<input id="c"><button οnclick=$()>Ok</button>');
delete _
- 看到splice()函数,百度了一下
现在解题思路就有了,我们 输入一个满足条件的e,让重点2输出
分析源码:4个正则匹配
/^be0f23/ ---------- ^ 头部匹配
/233ac/ ---------- 中间匹配
/e98aa$/ ---------- $ 尾部匹配
/c7be9/ ---------- 中间匹配
构造字符串e be0f233ac7be98aa
-
法一:直接在原来附件浏览器打开的输入框中输入 be0f233ac7be98aa,即可拿到Flag
-
法二:直接修改源码,只保留输出部分, 如下代码,浏览器打开文件即可拿到Flag
<script>
var t=["fl","s_a","i","e}"];
var n=["a","_h0l","n"];
var r=["g{","e","_0"];
var i=["it'","_","n"];
var s=[t,n,r,i];
for(var o=0;o<13;++o){
document.write(s[o%4][0]);s[o%4].splice(0,1)}
</script>
