江湖魔头 Writeup

本贴最后更新于 756 天前,其中的信息可能已经天翻地覆

写在前面的话

打怪需要装备,装备需要钱,如果这句话没能帮到你,那么就继续看吧

这是一道来自 Bugku 上的一道题,题目地址:http://123.206.31.85/

image.png

随便观察了一下没有发现什么特殊的地方,看参数的地方加了'出现如下:

image.png

打开源码只发现三个 js 文件

image.png

接下来就是代码审计的时间了,这里主要是 Javascript.

script.js 中发现 flag,随便打开一个编辑器格式化一下。
image.png

image.png

eval()就不用解释了吧,首先这是一个匿名函数,我们直接把 eval 去掉然后在 Chorme 中跑一下。

fun = function (p, a, c, k, e, r) {
    e = function (c) {
        return (c < 62 ? '' : e(parseInt(c / 62))) + ((c = c % 62) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
    };
    if ('0'.replace(0, e) == 0) {
        while (c--) r[e(c)] = k[c];
        k = [function (e) {
            return r[e] || e
        }];
        e = function () {
            return '[57-9abd-hj-zAB]'
        };
        c = 1
    }
    ;
    while (c--) if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]);
    return p
}('7 s(t){5 m=t+"=";5 8=9.cookie.n(\';\');o(5 i=0;i<8.d;i++){5 c=8[i].trim();u(c.v(m)==0)p c.substring(m.d,c.d)}p""}7 w(a){5 x=new Base64();5 q=x.decode(a);5 r="";o(i=0;i<q.d;i++){5 b=q[i].charCodeAt();b=b^i;b=b-((i%10)+2);r+=String.fromCharCode(b)}p r}7 ertqwe(){5 y="user";5 a=s(y);a=decodeURIComponent(a);5 z=w(a);5 8=z.n(\';\');5 e="";o(i=0;i<8.d;i++){u(-1<8[i].v("A")){e=8[i+1].n(":")[2]}}e=e.B(\'"\',"").B(\'"\',"");9.write(\'<img id="f-1" g="h/1-1.k">\');j(7(){9.l("f-1").g="h/1-2.k"},1000);j(7(){9.l("f-1").g="h/1-3.k"},2000);j(7(){9.l("f-1").g="h/1-4.k"},3000);j(7(){9.l("f-1").g="h/6.png"},4000);j(7(){alert("浣犱娇鐢ㄥ鏉ョ鎺屾墦璐ヤ簡钂欒€侀瓟锛屼絾涓嶇煡閬撴槸鐪熻韩杩樻槸鍋囪韩锛屾彁浜よ瘯涓€涓嬪惂!A{"+md5(e)+"}")},5000)}', [], 38, '|||||var||function|ca|document|temp|num||length|key|attack|src|image||setTimeout|jpg|getElementById|name|split|for|return|result|result3|getCookie|cname|if|indexOf|decode_create|base|temp_name|mingwen|flag|replace'.split('|'), 0, {})

image.png

同样我们再格式化一下这段代码,

function getCookie(cname) {
    var name = cname + "=";
    var ca = document.cookie.split(';');
    for (var i = 0; i < ca.length; i++) {
        var c = ca[i].trim();
        if (c.indexOf(name) == 0) return c.substring(name.length, c.length)
    }
    return ""
}

function decode_create(temp) {
    var base = new Base64();
    var result = base.decode(temp);
    var result3 = "";
    for (i = 0; i < result.length; i++) {
        var num = result[i].charCodeAt();
        num = num ^ i;
        num = num - ((i % 10) + 2);
        result3 += String.fromCharCode(num)
    }
    return result3
}

function ertqwe() {
    var temp_name = "user";
    var temp = getCookie(temp_name);
    temp = decodeURIComponent(temp);
    var mingwen = decode_create(temp);
    var ca = mingwen.split(';');
    var key = "";
    for (i = 0; i < ca.length; i++) {
        if (-1 < ca[i].indexOf("flag")) {
            key = ca[i + 1].split(":")[2]
        }
    }
    key = key.replace('"', "").replace('"', "");
    document.write('<img id="attack-1" src="image/1-1.jpg">');
    setTimeout(function () {
        document.getElementById("attack-1").src = "image/1-2.jpg"
    }, 1000);
    setTimeout(function () {
        document.getElementById("attack-1").src = "image/1-3.jpg"
    }, 2000);
    setTimeout(function () {
        document.getElementById("attack-1").src = "image/1-4.jpg"
    }, 3000);
    setTimeout(function () {
        document.getElementById("attack-1").src = "image/6.png"
    }, 4000);
    setTimeout(function () {
        alert("浣犱娇鐢ㄥ鏉ョ鎺屾墦璐ヤ簡钂欒€侀瓟锛屼絾涓嶇煡閬撴槸鐪熻韩杩樻槸鍋囪韩锛屾彁浜よ瘯涓€涓嬪惂!flag{" + md5(key) + "}")
    }, 5000)
}

getCookie() 是为了获取 cookie,在 ertqwe() 中传入 user,接下来我们还发现了 decodeURIComponent() 以及 decode_create(),后面的 for 循环里面处理得到 key,最后会得到一下 MD5 加密的 flag。

说白了这里唯一可以做文章的地方就是 cookie 了,因为经过了几个函数我们都还没研究过。接下来继续跟踪具体函数吧。

image.png

image.png

image.png

O:5:"human":10:{s:8:"xueliang";i:911;s:5:"neili";i:947;s:5:"lidao";i:62;s:6:"dingli";i:86;s:7:"waigong";i:0;s:7:"neigong";i:0;s:7:"jingyan";i:0;s:6:"yelian";i:0;s:5:"money";i:0;s:4:"flag";s:1:"0";}

这里看到了最后得到的是 cookie 反序列化后的字符串,但同时我们发现 money 为 0,太穷了!!!
怎么才能有钱呢?

我们先来看看 for 循环哦

image.png

这里的意思也就是即使你把这段代码直接跑也会的得到一个 MD5,只是为空值。 显然不是 flag。

现在我们来看一下直接去买装备是啥情况!

image.png

买不起,我们打开 cookie 看一下。

image.png

image.png

关键字段,也就是这里面都是钱啊!!!知道为什么这么穷了吧,因为你没钱!

现在的目的很明显,就是要有钱!
image.png

现在目标就转为逆向加密。
encodeURIComponent() 函数已经提供给我们,但是我们还想有一个 encode_create() 那就更完美了。

可是天上哪有掉馅饼的好事呢?

现在进入 decode_create() 分析阶段。

function decode_create(temp) {
    var base = new Base64();  // Base64
    var result = base.decode(temp);  //decode()
    var result3 = "";
    for (i = 0; i < result.length; i++) {
        var num = result[i].charCodeAt(); // decode后进行按位获取Ascii值
        num = num ^ i; // 与位置进行异或
        num = num - ((i % 10) + 2); // 进行运算
        result3 += String.fromCharCode(num) // 最后转为字符
    }
    return result3
}

下面开始编写加密函数(重点!!):

function encode_create(temp) {
    var result3 = "";
    for (i = 0; i < temp.length; i++) {
        // 将字符转为Unicode编码
        var num = temp.charCodeAt(i);
        num = num + ((i % 10) + 2);
        num = num ^ i;
        result3 += String.fromCharCode(num);
    }
    var base = new Base64();
    var result1 = base.encode(result3);
    return result1;
}

下面我们就开始变有钱的操作!

image.png

但是我们发现还是买不了???

image.png

查看 cookie 发现没有修改成功!

image.png

仔细思考发现刚才的 Base64 我们没有跟踪进去看,肯定是它搞的鬼!

image.png

在 decode 这个方法中,我们发现很诡异的地方这里被注释掉了,但是在 encode 方法中是这样的。

image.png

所以明白了吧,我们现在的目的就要把这里注释掉,然后覆盖一下这个函数!

image.png

现在购买成功了

image.png

然后练功!

image.png

讨伐就成功拿到 flag!!!

image.png

  • CTF
    9 引用 • 13 回帖 • 1 关注
  • 江湖魔头
    1 引用
  • Bug

    Bug 本意是指臭虫、缺陷、损坏、犯贫、窃听器、小虫等。现在人们把在程序中一些缺陷或问题统称为 bug(漏洞)。

    75 引用 • 1719 回帖 • 3 关注

广告 我要投放

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...