写在前面的话
打怪需要装备,装备需要钱,如果这句话没能帮到你,那么就继续看吧
这是一道来自 Bugku 上的一道题,题目地址:http://123.206.31.85:1616/
随便观察了一下没有发现什么特殊的地方,看参数的地方加了'出现如下:
打开源码只发现三个 js 文件
接下来就是代码审计的时间了,这里主要是 Javascript.
在 script.js 中发现 flag,随便打开一个编辑器格式化一下。
eval()就不用解释了吧,首先这是一个匿名函数,我们直接把 eval 去掉然后在 Chorme 中跑一下。
fun = function (p, a, c, k, e, r) {
e = function (c) {
return (c < 62 ? '' : e(parseInt(c / 62))) + ((c = c % 62) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
};
if ('0'.replace(0, e) == 0) {
while (c--) r[e(c)] = k[c];
k = [function (e) {
return r[e] || e
}];
e = function () {
return '[57-9abd-hj-zAB]'
};
c = 1
}
;
while (c--) if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]);
return p
}('7 s(t){5 m=t+"=";5 8=9.cookie.n(\';\');o(5 i=0;i<8.d;i++){5 c=8[i].trim();u(c.v(m)==0)p c.substring(m.d,c.d)}p""}7 w(a){5 x=new Base64();5 q=x.decode(a);5 r="";o(i=0;i<q.d;i++){5 b=q[i].charCodeAt();b=b^i;b=b-((i%10)+2);r+=String.fromCharCode(b)}p r}7 ertqwe(){5 y="user";5 a=s(y);a=decodeURIComponent(a);5 z=w(a);5 8=z.n(\';\');5 e="";o(i=0;i<8.d;i++){u(-1<8[i].v("A")){e=8[i+1].n(":")[2]}}e=e.B(\'"\',"").B(\'"\',"");9.write(\'<img id="f-1" g="h/1-1.k">\');j(7(){9.l("f-1").g="h/1-2.k"},1000);j(7(){9.l("f-1").g="h/1-3.k"},2000);j(7(){9.l("f-1").g="h/1-4.k"},3000);j(7(){9.l("f-1").g="h/6.png"},4000);j(7(){alert("浣犱娇鐢ㄥ鏉ョ鎺屾墦璐ヤ簡钂欒€侀瓟锛屼絾涓嶇煡閬撴槸鐪熻韩杩樻槸鍋囪韩锛屾彁浜よ瘯涓€涓嬪惂!A{"+md5(e)+"}")},5000)}', [], 38, '|||||var||function|ca|document|temp|num||length|key|attack|src|image||setTimeout|jpg|getElementById|name|split|for|return|result|result3|getCookie|cname|if|indexOf|decode_create|base|temp_name|mingwen|flag|replace'.split('|'), 0, {})
同样我们再格式化一下这段代码,
function getCookie(cname) {
var name = cname + "=";
var ca = document.cookie.split(';');
for (var i = 0; i < ca.length; i++) {
var c = ca[i].trim();
if (c.indexOf(name) == 0) return c.substring(name.length, c.length)
}
return ""
}
function decode_create(temp) {
var base = new Base64();
var result = base.decode(temp);
var result3 = "";
for (i = 0; i < result.length; i++) {
var num = result[i].charCodeAt();
num = num ^ i;
num = num - ((i % 10) + 2);
result3 += String.fromCharCode(num)
}
return result3
}
function ertqwe() {
var temp_name = "user";
var temp = getCookie(temp_name);
temp = decodeURIComponent(temp);
var mingwen = decode_create(temp);
var ca = mingwen.split(';');
var key = "";
for (i = 0; i < ca.length; i++) {
if (-1 < ca[i].indexOf("flag")) {
key = ca[i + 1].split(":")[2]
}
}
key = key.replace('"', "").replace('"', "");
document.write('<img id="attack-1" src="image/1-1.jpg">');
setTimeout(function () {
document.getElementById("attack-1").src = "image/1-2.jpg"
}, 1000);
setTimeout(function () {
document.getElementById("attack-1").src = "image/1-3.jpg"
}, 2000);
setTimeout(function () {
document.getElementById("attack-1").src = "image/1-4.jpg"
}, 3000);
setTimeout(function () {
document.getElementById("attack-1").src = "image/6.png"
}, 4000);
setTimeout(function () {
alert("浣犱娇鐢ㄥ鏉ョ鎺屾墦璐ヤ簡钂欒€侀瓟锛屼絾涓嶇煡閬撴槸鐪熻韩杩樻槸鍋囪韩锛屾彁浜よ瘯涓€涓嬪惂!flag{" + md5(key) + "}")
}, 5000)
}
getCookie() 是为了获取 cookie,在 ertqwe() 中传入 user,接下来我们还发现了 decodeURIComponent() 以及 decode_create(),后面的 for 循环里面处理得到 key,最后会得到一下 MD5 加密的 flag。
说白了这里唯一可以做文章的地方就是 cookie 了,因为经过了几个函数我们都还没研究过。接下来继续跟踪具体函数吧。
O:5:"human":10:{s:8:"xueliang";i:911;s:5:"neili";i:947;s:5:"lidao";i:62;s:6:"dingli";i:86;s:7:"waigong";i:0;s:7:"neigong";i:0;s:7:"jingyan";i:0;s:6:"yelian";i:0;s:5:"money";i:0;s:4:"flag";s:1:"0";}
这里看到了最后得到的是 cookie 反序列化后的字符串,但同时我们发现 money 为 0,太穷了!!!
怎么才能有钱呢?
我们先来看看 for 循环哦
这里的意思也就是即使你把这段代码直接跑也会的得到一个 MD5,只是为空值。 显然不是 flag。
现在我们来看一下直接去买装备是啥情况!
买不起,我们打开 cookie 看一下。
关键字段,也就是这里面都是钱啊!!!知道为什么这么穷了吧,因为你没钱!
现在的目的很明显,就是要有钱!
现在目标就转为逆向加密。
encodeURIComponent() 函数已经提供给我们,但是我们还想有一个 encode_create() 那就更完美了。
可是天上哪有掉馅饼的好事呢?
现在进入 decode_create() 分析阶段。
function decode_create(temp) {
var base = new Base64(); // Base64
var result = base.decode(temp); //decode()
var result3 = "";
for (i = 0; i < result.length; i++) {
var num = result[i].charCodeAt(); // decode后进行按位获取Ascii值
num = num ^ i; // 与位置进行异或
num = num - ((i % 10) + 2); // 进行运算
result3 += String.fromCharCode(num) // 最后转为字符
}
return result3
}
下面开始编写加密函数(重点!!):
function encode_create(temp) {
var result3 = "";
for (i = 0; i < temp.length; i++) {
// 将字符转为Unicode编码
var num = temp.charCodeAt(i);
num = num + ((i % 10) + 2);
num = num ^ i;
result3 += String.fromCharCode(num);
}
var base = new Base64();
var result1 = base.encode(result3);
return result1;
}
下面我们就开始变有钱的操作!
但是我们发现还是买不了???
查看 cookie 发现没有修改成功!
仔细思考发现刚才的 Base64 我们没有跟踪进去看,肯定是它搞的鬼!
在 decode 这个方法中,我们发现很诡异的地方这里被注释掉了,但是在 encode 方法中是这样的。
所以明白了吧,我们现在的目的就要把这里注释掉,然后覆盖一下这个函数!
现在购买成功了
然后练功!
讨伐就成功拿到 flag!!!
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于