CTF训练营-一种编码而已

题目(原题地址)如下:

yzbmey1

思路:一开始以为是网站的js渲染出来的,结果看了下源码,发现思路不对。后来搜了下,发现了一个新的工具

yzbmey2

这段代码的好处(对于黑客)是,它不包含任何字符或数字,可以逃过某些过滤器的检查。比如说,如果假定一个AJAX请求将返回一个只包含数字的JSON,于是很可能会简单判断了一下其中不含字母就直接eval了,结果给黑客们留下了后门。上面的代码功能很简单,但使用同样的原理,完全可以干出更复杂的事,例alert(document.cookie)。更重要的是,这段代码再一次提醒我们,黑客的想象力是无限的…

问题迎刃而解,直接把编码扔到chrome控制台里滚一遍

yzbmey3

至于为什么这种类型的代码可以执行,由于本菜鸟的js太菜还没研究明白,有待深究了。等研究明白了和各位分享。。。有思路的可以微博私信或者评论留言,太晚了,先睡觉了。

——Snake

snake

作者: snake

我们需要为这个社会做一点贡献,失去了才懂得去珍惜。

发表评论

电子邮件地址不会被公开。 必填项已用*标注