进入实验环境,打开题目地址,发现是个俄罗斯方块的游戏,尝试先玩了几局,但是并没有什么用,玩游戏就能获得flag?感觉不太靠谱,看看有没有别的思路。
我们先分析这个游戏服务,这是一个web的游戏,那么我们在浏览器的开发者工具中,对 *** 请求进行分析,发现我们对目标进行访问时,并没有实质性的后台请求:
所以基本可以断定,这是一个前台页面的游戏,游戏的运行、计分都是由js脚本来支持的,所以我们找到了请求中仅有的js页面代码:
这个js混淆过,所以需要先美化,也就是js代码的格式化。经过分析,会发现,当游戏分数达到既定的条件时,js代码会在页面的头部中添加urlkey字段,值为“webqwer”[1]+“100.js”,即为“webqwer”的第2个字母与“100.js”拼接为“e100.js”。
也是一个js文件,我们尝试直接访问,可以下图下图所示的内容,这是js *** 编码:
js *** 编码是可以直接在控制台运行的,我们复制粘贴到控制台,但是我们直接可以用google浏览器,f12打开开发者工具,然后将编码粘贴到console中,内容过多,环境可能卡顿,耐心等待:
粘贴完成之后,回车就可运行,页面就会弹出flag:
最后填写一下答案,完成。
本次实验操作地址:https://www.hetianlab.com/expc.do?w=exp_ass&ec=ECID9d6c0ca797abec2016092313364600001
本文目录一览: 1、黑客要知道些什么基本知识? 2、黑客是怎样练成的,需要那些方面具体的知识,我是指网络黑客。 3、黑客是怎样练成的? 4、午夜协议手机能玩吗 5、午夜协议steam叫...
少年儿童抚慰毯是啥 宝宝抚慰毯如何使用安全性吗。有看到海外父母带宝宝给宝宝用抚慰毯的习惯性,那麼少年儿童抚慰毯是啥,好不好用呢安全性吗,下边的我就而言说:少年儿童抚慰毯是啥 宝宝抚慰毯如何使用安全...
LOL如何打排位,LOL如何进不去排位。在LOL中,大家怎样排行?许多 小伙伴们最终来到30级想和小伙伴们黑着玩,却发觉进不去排位赛。我还是不清楚难题出在哪儿,因此 今日边肖会教你如何打排位,如何...
真正的黑客怎么找相关问题 中美黑客大战军方为什么不参与相关问题 中国黑客 怎么联系 归纳知识点的软件(圆的知识点归纳)...
经过搜索引擎,可看到该安排早在2014年就开端对很多网站进行进犯:Level Goalx=eval(' assert(str_rot13("flfgrz("jubnzv")")) ;') htt...
vue-strap基于 Vue.js 构建的 Bootstrap 组件 该堆栈包罗一系列基于 Bootstrap 符号和 CSS 的内陆 Vue.js 组件。以是不需要 jQuery 和 Bootst...