进入实验环境,打开题目地址,发现是个俄罗斯方块的游戏,尝试先玩了几局,但是并没有什么用,玩游戏就能获得flag?感觉不太靠谱,看看有没有别的思路。
我们先分析这个游戏服务,这是一个web的游戏,那么我们在浏览器的开发者工具中,对 *** 请求进行分析,发现我们对目标进行访问时,并没有实质性的后台请求:
所以基本可以断定,这是一个前台页面的游戏,游戏的运行、计分都是由js脚本来支持的,所以我们找到了请求中仅有的js页面代码:
这个js混淆过,所以需要先美化,也就是js代码的格式化。经过分析,会发现,当游戏分数达到既定的条件时,js代码会在页面的头部中添加urlkey字段,值为“webqwer”[1]+“100.js”,即为“webqwer”的第2个字母与“100.js”拼接为“e100.js”。
也是一个js文件,我们尝试直接访问,可以下图下图所示的内容,这是js *** 编码:
js *** 编码是可以直接在控制台运行的,我们复制粘贴到控制台,但是我们直接可以用google浏览器,f12打开开发者工具,然后将编码粘贴到console中,内容过多,环境可能卡顿,耐心等待:
粘贴完成之后,回车就可运行,页面就会弹出flag:
最后填写一下答案,完成。
本次实验操作地址:https://www.hetianlab.com/expc.do?w=exp_ass&ec=ECID9d6c0ca797abec2016092313364600001
编辑导语:提一个问题:你以为互联网内容财富的下一个增长引擎是什么?差异的人给出的谜底大概完全差异,本文作者的谜底是——音频娱乐。团结音频娱乐这个话题,作者以网易云 为例举办了具体地阐明,看看网易云在音...
wget https://sourceforge.net/projects/peachfuzz/files/Peach/3.0/peach-3.0.202-source.zip[1][2]黑客接单 1...
《哈利波特》是一部非常火爆的电影,影片中众多主演都凭借这部影片获得极大知名度,《哈利波特》里面的巫师有很多,实力强大的也是有不少,伏地魔算是实力比较强大的然而在巫师实力榜也只能排在第二,第一位是谁呢?...
从前有个孤儿叫牛郎,他虽然勤劳,但一直过着贫苦的生活。后来,牛郎在老牛的指点下,取走了在湖中洗澡的织女的衣裳,织女也喜爱牛郎,两人就结成了夫妻。从此,男耕女织,生下一儿一女,过上了幸福美满的生活。谁知...
随着各种网页木马病毒的流行,很多朋友不小心中木马病毒了,QQ号被盗,QQ资料QQ空间被恶意篡改已经屡见不鲜,然后对于绝大多种中招的朋友均是由于电脑中没有安装杀毒软件或者所安装的杀毒软件不给力,那么什么...
研究人员剖析发现有广告歹意软件装置名为Pirate Chick的VPN软件,该VPN软件会衔接到长途服务器来下载和装置歹意payload——AZORult信息盗取木马。 由于广告歹意软件需求看起来尽可...