江湖魔头 Writeup

写在前面的话

打怪需要装备，装备需要钱，如果这句话没能帮到你，那么就继续看吧

这是一道来自 Bugku 上的一道题，题目地址：http://123.206.31.85:1616/

随便观察了一下没有发现什么特殊的地方，看参数的地方加了'出现如下：

打开源码只发现三个 js 文件

接下来就是代码审计的时间了，这里主要是 Javascript.

在 script.js 中发现 flag，随便打开一个编辑器格式化一下。

eval()就不用解释了吧，首先这是一个匿名函数，我们直接把 eval 去掉然后在 Chorme 中跑一下。

fun = function (p, a, c, k, e, r) {
    e = function (c) {
        return (c < 62 ? '' : e(parseInt(c / 62))) + ((c = c % 62) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
    };
    if ('0'.replace(0, e) == 0) {
        while (c--) r[e(c)] = k[c];
        k = [function (e) {
            return r[e] || e
        }];
        e = function () {
            return '[57-9abd-hj-zAB]'
        };
        c = 1
    }
    ;
    while (c--) if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]);
    return p
}('7 s(t){5 m=t+"=";5 8=9.cookie.n(\';\');o(5 i=0;i<8.d;i++){5 c=8[i].trim();u(c.v(m)==0)p c.substring(m.d,c.d)}p""}7 w(a){5 x=new Base64();5 q=x.decode(a);5 r="";o(i=0;i<q.d;i++){5 b=q[i].charCodeAt();b=b^i;b=b-((i%10)+2);r+=String.fromCharCode(b)}p r}7 ertqwe(){5 y="user";5 a=s(y);a=decodeURIComponent(a);5 z=w(a);5 8=z.n(\';\');5 e="";o(i=0;i<8.d;i++){u(-1<8[i].v("A")){e=8[i+1].n(":")[2]}}e=e.B(\'"\',"").B(\'"\',"");9.write(\'<img id="f-1" g="h/1-1.k">\');j(7(){9.l("f-1").g="h/1-2.k"},1000);j(7(){9.l("f-1").g="h/1-3.k"},2000);j(7(){9.l("f-1").g="h/1-4.k"},3000);j(7(){9.l("f-1").g="h/6.png"},4000);j(7(){alert("浣犱娇鐢ㄥ鏉ョ鎺屾墦璐ヤ簡钂欒€侀瓟锛屼絾涓嶇煡閬撴槸鐪熻韩杩樻槸鍋囪韩锛屾彁浜よ瘯涓€涓嬪惂!A{"+md5(e)+"}")},5000)}', [], 38, '|||||var||function|ca|document|temp|num||length|key|attack|src|image||setTimeout|jpg|getElementById|name|split|for|return|result|result3|getCookie|cname|if|indexOf|decode_create|base|temp_name|mingwen|flag|replace'.split('|'), 0, {})

​

同样我们再格式化一下这段代码,

function getCookie(cname) {
    var name = cname + "=";
    var ca = document.cookie.split(';');
    for (var i = 0; i < ca.length; i++) {
        var c = ca[i].trim();
        if (c.indexOf(name) == 0) return c.substring(name.length, c.length)
    }
    return ""
}

function decode_create(temp) {
    var base = new Base64();
    var result = base.decode(temp);
    var result3 = "";
    for (i = 0; i < result.length; i++) {
        var num = result[i].charCodeAt();
        num = num ^ i;
        num = num - ((i % 10) + 2);
        result3 += String.fromCharCode(num)
    }
    return result3
}

function ertqwe() {
    var temp_name = "user";
    var temp = getCookie(temp_name);
    temp = decodeURIComponent(temp);
    var mingwen = decode_create(temp);
    var ca = mingwen.split(';');
    var key = "";
    for (i = 0; i < ca.length; i++) {
        if (-1 < ca[i].indexOf("flag")) {
            key = ca[i + 1].split(":")[2]
        }
    }
    key = key.replace('"', "").replace('"', "");
    document.write('<img id="attack-1" src="image/1-1.jpg">');
    setTimeout(function () {
        document.getElementById("attack-1").src = "image/1-2.jpg"
    }, 1000);
    setTimeout(function () {
        document.getElementById("attack-1").src = "image/1-3.jpg"
    }, 2000);
    setTimeout(function () {
        document.getElementById("attack-1").src = "image/1-4.jpg"
    }, 3000);
    setTimeout(function () {
        document.getElementById("attack-1").src = "image/6.png"
    }, 4000);
    setTimeout(function () {
        alert("浣犱娇鐢ㄥ鏉ョ鎺屾墦璐ヤ簡钂欒€侀瓟锛屼絾涓嶇煡閬撴槸鐪熻韩杩樻槸鍋囪韩锛屾彁浜よ瘯涓€涓嬪惂!flag{" + md5(key) + "}")
    }, 5000)
}
​

getCookie() 是为了获取 cookie，在 ertqwe() 中传入 user,接下来我们还发现了 decodeURIComponent() 以及 decode_create(),后面的 for 循环里面处理得到 key,最后会得到一下 MD5 加密的 flag。

说白了这里唯一可以做文章的地方就是 cookie 了，因为经过了几个函数我们都还没研究过。接下来继续跟踪具体函数吧。

O:5:"human":10:{s:8:"xueliang";i:911;s:5:"neili";i:947;s:5:"lidao";i:62;s:6:"dingli";i:86;s:7:"waigong";i:0;s:7:"neigong";i:0;s:7:"jingyan";i:0;s:6:"yelian";i:0;s:5:"money";i:0;s:4:"flag";s:1:"0";}
​

这里看到了最后得到的是 cookie 反序列化后的字符串，但同时我们发现 money 为 0，太穷了！！！
怎么才能有钱呢？

我们先来看看 for 循环哦

这里的意思也就是即使你把这段代码直接跑也会的得到一个 MD5，只是为空值。 显然不是 flag。

现在我们来看一下直接去买装备是啥情况！

买不起，我们打开 cookie 看一下。

关键字段，也就是这里面都是钱啊！！！知道为什么这么穷了吧，因为你没钱！

现在的目的很明显，就是要有钱！

现在目标就转为逆向加密。
encodeURIComponent() 函数已经提供给我们，但是我们还想有一个 encode_create() 那就更完美了。

可是天上哪有掉馅饼的好事呢？

现在进入 decode_create() 分析阶段。

function decode_create(temp) {
    var base = new Base64();  // Base64
    var result = base.decode(temp);  //decode()
    var result3 = "";
    for (i = 0; i < result.length; i++) {
        var num = result[i].charCodeAt(); // decode后进行按位获取Ascii值
        num = num ^ i; // 与位置进行异或
        num = num - ((i % 10) + 2); // 进行运算
        result3 += String.fromCharCode(num) // 最后转为字符
    }
    return result3
}
​

下面开始编写加密函数(重点！！)：

function encode_create(temp) {
    var result3 = "";
    for (i = 0; i < temp.length; i++) {
        // 将字符转为Unicode编码
        var num = temp.charCodeAt(i);
        num = num + ((i % 10) + 2);
        num = num ^ i;
        result3 += String.fromCharCode(num);
    }
    var base = new Base64();
    var result1 = base.encode(result3);
    return result1;
}
​

下面我们就开始变有钱的操作！

但是我们发现还是买不了？？？

查看 cookie 发现没有修改成功！

仔细思考发现刚才的 Base64 我们没有跟踪进去看，肯定是它搞的鬼！

在 decode 这个方法中，我们发现很诡异的地方这里被注释掉了，但是在 encode 方法中是这样的。

所以明白了吧，我们现在的目的就要把这里注释掉，然后覆盖一下这个函数！

现在购买成功了

然后练功！

讨伐就成功拿到 flag！！！