Day39

 
 

江湖魔头

200

http://123.206.31.85:1616/
学会如来神掌应该就能打败他了吧
本题要点:读js代码的能力!
 
 
一打开是这样的画面
 
点击进入江湖(开始游戏)的链接
 
查看源码,无果
点击刷新属性貌似除了数字更迭也没什么其他变化
点击确定
看到这样的页面
1.点击属性
2.点击练功
3.点击商店
4.点击赚钱
5.点击讨伐
 
思索一波......
这个“赚钱”速度太慢了,100两/5s钟的速度赚钱.....
秒掉魔头的如来神掌要100000两......
 
emmmm....
御剑扫了一波..也没有什么发现.............
小女子太笨.....思索无果.....查阅大佬们的wp
发现大佬脑洞真多......
去掉wulin.php后面的参数,可以看到以下页面
 
 
查看源码:
 
三个.js文件
 
打开第一个.js
格式化一波
根据大佬对代码的理解: 尝试在浏览器控制台执行此函数,弹出经过md5加密的字符串
解码....
 
最后解出来的cookie值中,大致流程:解cookie–>修改"money"–>封装–>设置cookie值–>有钱人–>去商店–>学技能–>打怪…
 
 
 
根据大佬的解释: 修改之后的数据经过几轮加密之后已经跟最开始的样子很不一样了,这是不太正常的。问题就出在了中间的encode_create函数中的base64加解码上。
 
查看另外一个外部链接js文件base64.js
 
 
解码中有一行被注释掉了,这个时候我们只要想办法让加密过程中对应的
input = _utf8_encode(input);这一行不生效或不执行。
通过document.cookie进行设置,然后去商店学技能,最后去找老魔决战:
 
 
 
 
 
完成!
 
讲道理,这道题的操作我没有见过~  
向大佬们学习QWQ
 
 
参考资料:
https://blog.csdn.net/qq_25899635/article/details/92759985
 
 
 

Bugku-CTF之江湖魔头(学会如来神掌应该就能打败他了吧)的更多相关文章

  1. Bugku CTF练习题---MISC---贝斯手

    Bugku CTF练习题---MISC---贝斯手 flag:flag{this_is_md5_and_base58} 解题步骤: 1.观察题目,下载附件 2.下载后进行解压,得到了一张图片.一个压缩 ...

  2. Bugku CTF练习题---MISC---telnet

    Bugku CTF练习题---MISC---telnet flag:flag{d316759c281bf925d600be698a4973d5} 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现 ...

  3. Bugku CTF练习题---MISC---眼见非实

    Bugku CTF练习题---MISC---眼见非实 flag:flag{F1@g} 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现是一个压缩包,打开是一个Word文档,观察其中的内容,除了开 ...

  4. Bugku CTF练习题---MISC---宽带信息泄露

    Bugku CTF练习题---MISC---宽带信息泄露 flag:053700357621 解题步骤: 1.观察题目,下载附件 2.下载到电脑里发现是一个bin文件,二进制文件的一个种类,再看名称为 ...

  5. Bugku CTF练习题---MISC---这是一张单纯的图片

    Bugku CTF练习题---MISC---这是一张单纯的图片 flag:key{you are right} 解题步骤: 1.观察题目,下载附件 2.打开以后发现是一张图片,修改文件扩展名,查看属性 ...

  6. Bugku CTF练习题---加密---ok

    Bugku CTF练习题---加密---ok flag:flag{ok-ctf-1234-admin} 解题步骤: 1.观察题目,发现规律 2.发现所有内容都是ook写的, 直接上网搜索一下原因,发现 ...

  7. Bugku CTF练习题---加密---聪明的小羊

    Bugku CTF练习题---加密---聪明的小羊 flag:KEY{sad23jjdsa2} 解题步骤: 1.观察题目,发现其中的信息 2.经过题目判断,得知该题属于栅栏密码的一种,并且介绍中表明了 ...

  8. Bugku CTF练习题---分析---flag被盗

    Bugku CTF练习题---分析---flag被盗 flag:flag{This_is_a_f10g} 解题步骤: 1.观察题目,下载附件 2.下载的文件是一个数据包,果断使用wireshark打开 ...

  9. Bugku CTF练习题---杂项---隐写3

    Bugku CTF练习题---杂项---隐写3 flag:flag{He1l0_d4_ba1} 解题步骤: 1.观察题目,下载附件 2.打开图片,发现是一张大白,仔细观察一下总感觉少了点东西,这张图好 ...

随机推荐

  1. Visual Studio 问题汇总

    VS2019 16.3.6   1   JSON 文件没有进行格式化验证 开发时运行正常,部署在IIS中有错误提示. 2  .NET Core 3.0 没有提供中文包 所有注释都是英文的.

  2. ABC155 D pair 边界处理取整

    ABC155 D pair 取整坑点 思路 很常见的一道题,二分找答案,然后看这个答案排rank?,排rank?用二分继续找一遍二分套二分即可,就是边界比较烦,老年人写的心情烦躁 老年人被取整坑的几天 ...

  3. 解决pjax加载页面不执行js插件的问题

    个人博客 地址:http://www.wenhaofan.com/article/20180913220425 介绍 在使用jquery.pjax的时候发现加载页面时不会执行其中的layui以及jqu ...

  4. 番外:Oracle 中关于 Control File 的备份说明

    番外系列说明:该系列所有文章都将作为独立篇章进行知识点讲解,是对其他系列博文进行的补充说明,来自于博客园AskScuti. 主题:关于 Control File 控制文件备份的说明 内容预览:本篇涉及 ...

  5. flask操作

    models.py class CompanyGoodsModel(Base): id=Column(Integer, primary_key=True) company_id = Column(In ...

  6. Vs2013以管理员身份运行

    VS快捷方式目录下的devenv.exe 右键->兼容性疑难解答->疑难解答程序->勾选该程序需要附加权限即可,以后每次打开VS时都会以管理员身份运行了!

  7. c# 让接口实现方法

    interface IMy { } static class MyFunc { public static void Func<T>(this T obj) where T : IMy { ...

  8. C语言strcat()函数:字符串连接(拼接)

    C语言strcat()函数:字符串连接(拼接)   C语言 strcat() 函数用来将两个字符串连接(拼接)起来. 头文件:string.h 语法/原型: char*strcat(char* str ...

  9. 一点点学习PS--实战四

    本节实战,较为基础,主要是设置画布大小.字体的输入 1.工具使用 文字工具:直排文字工具,竖排文字 2.重点: (1)画影子: ----人物图层拷贝,CTRL+T,右键选择垂直翻转,拖拽出来,即可得到 ...

  10. 1054 The Dominant Color

    大致题意就是给出N行M列的元素,找出出现次数最多的元素并输出. #include<iostream> #include<unordered_map> using namespa ...

热门专题

统计矩阵中某个字符串的个数
jenkins springboot windows 发布
消除数组的空字符 ja
vncserver 息屏
virtualbox桥接模式无法上网
docker 创建查看数据卷
c# 根据条件修改 datatable某个字段值
UE GamePlay初始化顺序
cadence原理图 excel
以下哪一个函数不属于高阶函数
C# 大文件导入导出
sharepoint如何设置提取码
cmder 只运行一个
scp指令把linux文件上传到windos
sw如何打开urdf
C# 本地记录用户名 Settings
vscode使用emmet语法 套住文字
win7虚拟桌面副屏
win2012mysql远程访问
unity3d 子弹朝物体移动