XCTF攻防世界练习区-web题-simple_js

最新推荐文章于 2026-05-13 11:45:32 发布
原创 最新推荐文章于 2026-05-13 11:45:32 发布 · 2.2k 阅读 · 0
本文介绍了如何解决XCTF攻防世界中的一道web题目,涉及理解JavaScript代码、查看源码及构造Python脚本来解密密码。通过F12查看源码,发现函数未使用传入参数,通过修改源码并重新加载,得到部分提示。最终通过编写脚本解析,得出正确Flag:Cyberpeace{786OsErtk12},但为何源码修改后缺失一个数字2仍是个谜。

0x07 simple js

【题目描述】

小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )

【目标】

掌握有关js的知识。查看页面源码,了解js和读懂代码。

【解题思路】

F12查看网页源代码,找到index文件,仔细阅读js代码。(或者view-source:命令)

先输入一个password厂商一下返回的结果。

查看源码,读懂源码,发现函数并没有使用传入的参数的值。接下来的做法就是将参数pass_enc传入的值替换为pass值,然后保存源码后进行重新打开,点击提交,就获得了alert的值。

 

(Flag格式为 Cyberpeace{xxxxxxxxx} )

尝试一下构造flag输入,发现还是错误的。很生气,刚开始使用的是火狐做的,发现不行,然后使用谷歌还是不行发现还是这个答案,貌似是没解码完全。

然后根据这段代码的意义,我就构造了个python脚本简单解析下。


                

        

    





  


        

            

                      
                        
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



              

                

              

            
              



	

		

			

				
					
【网络安全 | CTF】攻防世界 simple_js详析

				
			

			

				

					等风来
				

				

					05-21
					
					7163
					
				

			

		

		

			
				
被全局污染(我们并没有定义变量 p,JavaScript 将自动为我们创建一个全局 p 变量),函数每次都会返回上一次的解密结果(即undefined)目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )所以整个代码,是没有逻辑点可以绕过的,我们可以把整个代码当作无。的值为 undefined。而从第二次开始,因为变量。由于代码在解密函数开头并没有将全局变量。初始化,所以第一次运行时,变量。这里面应该是flag。再进行ASCII编码。

			
		

	



              


  
              

                


	

		

			

				
					
攻防世界 WEB 新手练习 writeup 007-012

				
			

			

				

					ChaoYue_miku的博客
				

				

					09-02
					
					1660
					
				

			

		

		

			
				
007 simple_php

难度系数:1.0
目来源: Cyberpeace-n3k0
目描述: 小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
0x01 打开网页 有一段PHP源代码

0x02 进行代码审计
<?php
show_source(__FILE__);
include("config.php");
$a=@$_GET['a'];
$b=@$_GET['b'];
if($a==0 and $a){
    echo $flag1;
}
if(is_numer

			
		

	





	

		

			

				
					
基于Python与yt-dlp构建Hololive频道自动化采集器实战指南

					
最新发布

				
			

			

				

					weixin_30245867的博客
				

				

					05-13
					
					597
					
				

			

		

		

			
				
网络数据采集是获取和分析公开信息的常见技术,其核心原理是通过程序模拟请求,从目标网站提取并结构化所需数据。在Python生态中,youtube-dlp及其分支yt-dlp是处理YouTube等视频平台内容下载与元数据提取的利器,它们通过解析网页或播放器脚本来获取视频流地址和相关信息,规避了官方API的配额限制,特别适合大规模、批量化的采集任务。这种技术对于构建个人媒体库、进行粉丝行为分析或内容归档具有重要价值。在虚拟主播(Vtuber)领域,以Hololive为代表的创作者每日产出大量直播、短视频等内容,手

			
		

	



		

			
		



	

		

			

				
					
攻防世界web步骤

				
			

			

				

					Seven1_xwx的博客
				

				

					12-05
					
					1265
					
				

			

		

		

			
				
攻防世界新手


攻防世界web新手步骤
第一
第二
第三
第四
第五





			
		

	





	

		

			

				
					
攻防世界-Web-新手-simple_js

				
			

			

				

					weixin_31610083的博客
				

				

					10-11
					
					521
					
				

			

		

		

			
				
目描述】

小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )



【附件】

在线场景



【过程及思路】

打开在线场景后弹出输入框:



尝试输入了几次后,发现都是这个结果。





老样子,先查看网页源码。





经过代码审计,发现很坑的一件事:输入输入框的内容经过js的函数window.prompt来保存到变量h中,之后网页直接将h经过dechiffre()这个函数一顿操作,然后把一个不知道什么东西返回并弹出,最后...

			
		

	





	

		

			

				
					
[CTF/网络安全] 攻防世界 simple_js详析

				
			

			

				

					2401_88751289的博客
				

				

					01-03
					
					723
					
				

			

		

		

			
				
考察Javascript代码的解读及不同数值类型的转换姿。

			
		

	





	

		

			

				
					
XCTF攻防世界web新手练习_ 5_simple_js

				
			

			

				

					silence1_的博客
				

				

					04-28
					
					1万+
					
				

			

		

		

			
				
XCTF攻防世界web新手练习—disabled_button
目为simple_js,提示信息:
打开目,弹出一个弹窗,提示输入密码

随便输入一个,提示输入错误,之后查看源码,得到js源代码,是一个解码函数

分析源码,发现随便输入什么都会输出
pass="70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"对应的字符
用pyt...

			
		

	





	

		

			

				
					
XCTF攻防世界_Web练习

				
			

			

				

					FAFU小宋的博客
				

				

					10-30
					
					789
					
				

			

		

		

			
				
XCTF_Web_新手练习view_sourceget_postrobotsbackupcookiedisabled_buttonweak_authsimple_phpxff_refererwebshellcommand_executionsimple_js
view_source
这里右键无法查看网页源代码,可通过f12键或者在url地址前加上"view-source:"查看网页源代码找到flag。

get_post

HTTP常用的请求方法:get,post。
(1)直接把请求参数拼接在URL后面,

			
		

	





	

		

			

				
					
XCTF攻防世界WEB新手目writeup

				
			

			

				

					破博客
				

				

					09-19
					
					5144
					
				

			

		

		

			
				
写在前面:中秋假期在宿舍写的目,尚未决定好要不要做CTF,准备中秋过后找郭燕老师好好说明一下情况,听听老师的建议再做决定,先在假期里面写的目,虽然大部分也是无从下手看完别人写的writtenup才知道如何解,但是在这个过程中还是学到了一些知识,并且确实发现自己对这个方面十分的感兴趣。
此篇博文是将WEB新手的十二道做完之后重新回过头来看做过的目,是否每一都可以完整的再做出来。
目列...

			
		

	





	

		

			

				
					
[CTF_网络安全] 攻防世界 simple_js详析

				
			

			

				

					qingkahui24689的博客
				

				

					05-23
					
					2595
					
				

			

		

		

			
				
[CTF_网络安全] 攻防世界 simple_js详析,该考察Javascript代码的解读及不同数值类型的转换姿。我们下次见,

			
		

	





	

		

			

				
					
2021-06-24CTF-攻防世界-WEB新手练习(12入门

				
			

			

				

					u258710的博客
				

				

					06-24
					
					3008
					
				

			

		

		

			
				
CTF-攻防世界-WEB新手练习(12入门)01-view_source02-robots03-backup04-cookie05-disabled_button06-weak_auth07-simple_php08-get_post09-xff_referer10-webshell11-command_execution12-simple_js
01-view_source
目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
目提示查看网页源代码,但鼠标右键不管用

			
		

	





	

		

			

				
					
XCTF攻防世界新手赛场_5解方法

				
			

			

				

					Jo_kong的博客
				

				

					09-08
					
					713
					
				

			

		

		

			
				
首先,看一下目:
目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )
一般来说,看到这种,第一反应都是去翻源码

源码如下:

pass="70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"对应的字符为: FAUX PASSWORD HAHA,正好是提示错误的字符串。
接下来...

			
		

	





	

		

			

				
					
WEB CTF入门解析

				
			

			

				

					攻防人生3722的博客
				

				

					07-30
					
					8515
					
				

			

		

		

			
				
WEB CTF入门学习

入门1 view_source
X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
	答案:cyberpeace{ffbb0c3dcdb78ed0674f699dc967ce67}
	解析:打开网址http://220.249.52.133:31520/,F12调试模式,查看源码,即可发现flag: cyberpeace{ffbb0c3dcdb78ed0674f699dc967ce67}
	入门2 get_post
	目描述:X老师告诉小宁同学HTTP

			
		

	





	

		

			

				
					
【国庆活动】攻防世界web篇(四)

				
			

			

				

					weixin_51387754的博客
				

				

					10-10
					
					383
					
				

			

		

		

			
				
攻防世界是一群信息安全大咖共同研究的答、竞赛、以游戏方式结合的一款新型学习平台,融入多种场景在线型,集实战、理论、趣味于一体。 

			
		

	





	

		

			

				
					
攻防世界 WEB 新手练习(1-12解)

					
热门推荐

				
			

			

				

					小哈里的博客
				

				

					10-23
					
					1万+
					
				

			

		

		

			
				
序
传送门:https://adworld.xctf.org.cn/task/

1、



			
		

	





	

		

			

				
					
攻防世界-Web简单篇】

				
			

			

				

					gyy990526的博客
				

				

					02-27
					
					2144
					
				

			

		

		

			
				
001 view_source

目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。



解:F12看源代码,发现flag,即cyberpeace{2f02c337ed8e430393527ed58b1091f8}



002 robots

目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。

解:打开链接什么也没有,这时就需要知道什么是robots协议,robots协议也叫robots.txt(统一小写)...

			
		

	





	

		

			

				
					
【CTF WebXCTF GFSJ0480 simple_js Writeup(JS分析+ASCII码)

				
			

			

				

					HEX9CF的技术博客
				

				

					05-09
					
					673
					
				

			

		

		

			
				
小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )

			
		

	





	

		

			

				
					
攻防世界--simple_js

				
			

			

				

					HEAVEN569的博客
				

				

					03-17
					
					3095
					
				

			

		

		

			
				
目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )



打开网址,就一个密码输入框,啥都没有,尝试随便输入一个密码,报错。





ctrl+U 查看源代码


<html>
<head>
 <title>JS</title>
 <script type="text/javascript">
 function dechiffre(pass_enc){
  ......

			
		

	





	

		

			

				
					
攻防世界web新手解(详细)

				
			

			

				

					weixin_46342913的博客
				

				

					08-21
					
					7116
					
				

			

		

		

			
				
9.simple_php
目描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。

Knowledge
PHP中,
==是不严格的比较,会先进行类型转换再比较,
===是全等,要求类型相同且值相等
解思路:
阅读代码发现要满足a==0且if a为真,b不是数字且b>1234才会返回flag,
由可知,我们只需构造一个a类型转化后为0且为真,b不是数字且类型转换后大于1234,用get方式提交,即可得flag。
这里构造a=0ss,b=2267s。
如图:

Cyberpeac

			
		

	



              




          





        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值