攻防世界 —— Web新手练习区12题（simple js）题解

最新推荐文章于 2025-07-15 22:12:42 发布

筠yun

最新推荐文章于 2025-07-15 22:12:42 发布

阅读量1.3k

点赞数

CC 4.0 BY-SA版权

分类专栏： CTF

本文链接：https://blog.csdn.net/Catherine_qingzhu/article/details/105334008

CTF 专栏收录该内容

11 篇文章

订阅专栏

本文解析了一道JavaScript编程题，通过分析源代码发现无论输入何种密码，都会返回固定错误信息。最终，通过解读一段可疑的十六进制ASCII码找到了题目隐藏的FLAG。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

题目分析

从题目可以看出来，这是一道考JavaScript的题。

首先按F12键调出Console，不输入密码，直接点击“取消”，可以看到控制台报错了。

点击报错信息进入到源代码界面

分析源代码后发现函数dechiffre不管传入参数是什么都会输出"FAUX PASSWORD HAHA"，这就说明不管你输入什么密码，最后都会提示你"FAUX PASSWORD HAHA"。

说明这道题的flag不可能是靠输入正确密码来获取，因为根本就没有正确密码。

然后再看一眼源代码，明显感觉下面这串十六进制表示的ASCII码很可疑

"\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"

果不其然，这道题的FLAG就在这里。

解题过程

首先看这串十六进制的ASCII码到底是什么，然后将这串数字序列传入到String.fromCharCode中，就可以看到FLAG了。只是最后填写的时候需要注意一下FLAG格式，就没问题啦。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

筠yun

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【网络安全 | CTF】攻防世界 simple_js 解题详析

等风来

05-21

6791

被全局污染（我们并没有定义变量 p，JavaScript 将自动为我们创建一个全局 p 变量），函数每次都会返回上一次的解密结果（即undefined）题目描述：小宁发现了一个网页，但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )所以整个代码，是没有逻辑点可以绕过的，我们可以把整个代码当作无。的值为 undefined。而从第二次开始，因为变量。由于代码在解密函数开头并没有将全局变量。初始化，所以第一次运行时，变量。这里面应该是flag。再进行ASCII编码。

XCTF攻防世界练习区-web题-simple_js

果冻先生的专栏

09-24

2082

0x07 simple js 【题目描述】小宁发现了一个网页，但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 【目标】掌握有关js的知识。查看页面源码，了解js和读懂代码。【解题思路】 F12查看网页源代码，找到index文件，仔细阅读js代码。（或者view-source:命令）先输入一个password厂商一下返回的结果。查看...

参与评论您还未登录，请先登录后发表或查看评论

攻防世界WEB题目解析

qq_39607945的博客

08-29

1566

ics-05-攻防世界链接：http://111.198.29.45:50775 考点：文件包含漏洞、preg_replace()函数/e漏洞 1、点击左侧栏，存在index.php页面，查看源代码发现herf=?page=index，判断存在文件包含漏洞。 LFI漏洞的黑盒判断方法：单纯的从URL判断的话，URL中path、dir、file、pag、page、archive、p、eng、语言文...

【CTF-WEB】理解JS函数，并在Console控制台修改JS函数

最新发布

qq_37400312的博客

07-15

有这么一个网站，不管你输入什么都说你密码错误。

【CTF | WEB】004、攻防世界WEB题目之simple_js

韩非雨的博客

08-18

839

String["fromCharCode"] 这个语句是一种非标准语法的写法，它实际上是等价于标准语法中的 `String.fromCharCode。String.fromCharCode()函数用于从一些Unicode字符值中返回一个字符串，String.fromCharCode()方法的返回值为String类型，其返回值为Unicode数值所表示的字符串。

攻防世界web新手区题目解析

Onlyguard的博客

04-12

1103

web新手区题目解析 view_source robots backup cookie disabled_button weak_auth simple_php get post xff_referer webshell command_execution simple_js view_source 这个题就直接看页面源代码，就会发现flag robots 对robots协议有一定的了解之...

CTF-WEB篇攻防世界题目实战解析easyupload

2301_76565920的博客

04-23

2492

题目：easyupload 难度：1知识点：上传漏洞，服务器防护绕过，后门，.user.ini，auto_prepend_file的使用

攻防世界 —— Crypto新手练习区11题（Normal RSA）题解

Catherine_qingzhu的博客

07-02

2125

题目分析从题目就可以看出来这道题在考标准的RSA算法，而且会用到工具。下载附件解压后，发现有两个文件flag.enc和pubkey.pem。从文件的命名可知，前者就是加密后的flag，而后者是公钥。因为RSA是非对称加密算法，公钥加密，私钥解密，可以保证信息的机密性，而私钥加密，公钥解密，可以保证信息的不可抵赖性 ...

攻防世界 —— Crypto新手练习区10题（转轮机加密）题解

Catherine_qingzhu的博客

07-04

1847

题目分析从题目到描述都很清楚的指明了加密算法——转轮机加密，又叫杰斐逊盘。背景介绍如下（从寻梦小生那里搬运的）：杰斐逊盘，一种生僻的古典密码，最早由托马斯·杰斐逊（Thomas Jefferson）于1795年发明的，这个密码并没有成为众所周知的，而是由一个世纪之后的伟大的密码的征服者艾蒂安·巴泽尔司令独立发明的。加密原理很简单，首先需要一组带有标号的轮（从1号轮，2号轮...，n号轮），然后在这些轮的边缘刻有随机化的26个英文字母。最后在解密时，先要根据密钥将这组轮按顺序由上到下排列，再根

攻防世界 web新手练习区题解下

weixin_46330722的博客

10-30

781

攻防世界 web新手练习区题解下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 题目直接给出了源码，我们直接来分析一下，首先题目是要求我们通过get方式传递一个名为a和一个名为b的参数，并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。访问一下，并传递值为0的a参数可见，$a被判断为了false。这里我们应该看到它使用的比较符==,看一下官方文档。

CTF攻防世界 WEB方向新手练习区题解

赤道吻雪的博客

01-26

4465

CTF攻防世界 WEB方向新手练习区题解NO.1 view_sourceNO.2 robotsNO.3 backupNO.4 cookieNO.5 disabled_buttonNO.6 weak_auth NO.1 view_source 显示的是这样↓ 题目很简单，提示右键不能使用，直接F12，查看源代码，得到flag cyberpeace{5fd8262428f57d34cf722...

攻防世界———MISC 高手区题解

热门推荐

小锤队长的博客

10-14

2万+

目录 1，base64stego 2，easycap 3，Avatar 4，What-is-this 5，签到题 6，Training-Stegano-1 7，Excaliflag 8，Get-the-key.txt 9，glance-50 10，4-2 11,misc1 12，embarrass 13，肥宅快乐题 14，小小的PDF 至此我在攻防世界中已经遇到...

Wirte-up：攻防世界Web解题过程新手区07-12

看那白熊

04-16

595

文章更新于：2020-04-16 攻防世界 CTF 新手区 7-12 题目，解题思路，解题步骤。注1： web 环境搭建参见： Windows&linux使用集成环境搭建 web 服务器注2：DVWA 靶场搭建参见：搭建DVWA Web渗透测试靶场注3： sqli 注入靶场搭建参见：搭建 sqli SQL注入练习靶场注4：蚁剑的使用参见：AntSword 中国蚁剑的下载安装配置（附下载文件）

攻防世界web练习区题目解答

weixin_46262057的博客

03-22

4972

xctf的web练习区题目解答。

2021-06-24CTF-攻防世界-WEB新手练习区（12题入门题）

u258710的博客

06-24

2848

CTF-攻防世界-WEB新手练习区（12题入门题）01-view_source02-robots03-backup04-cookie05-disabled_button06-weak_auth07-simple_php08-get_post09-xff_referer10-webshell11-command_execution12-simple_js 01-view_source 题目描述：X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。题目提示查看网页源代码，但鼠标右键不管用

攻防世界web刷题新手区 simple_js （代码解读加思路分析）

qq_39585393的博客

11-13

523

题目小宁发现了一个网页，但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 题目分析与解题随便输入进去分析：提示为js直接查看源代码 <html> <head> <title>JS</title> <script type="text/javascript"> function dechiffre(pass_enc){ var pass = "70,65

攻防世界-web-simple js

wuh2333的博客

05-06

879

攻防世界，web，js

攻防世界-Web-新手-simple_js

weixin_31610083的博客

10-11

442

【题目描述】小宁发现了一个网页，但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 【附件】在线场景【过程及思路】打开在线场景后弹出输入框：尝试输入了几次后，发现都是这个结果。老样子，先查看网页源码。经过代码审计，发现很坑的一件事：输入到输入框的内容经过js的函数window.prompt来保存到变量h中，之后网页直接将h经过dechiffre()这个函数一顿操作，然后把一个不知道什么东西返回并弹出，最后...

攻防世界simple_js

知足且坚定，温柔且上进

01-20

1979

我以为是 simple_is原来是js 让我们输入密码查看源码：我靠，真的要读懂js的代码？我也没学啊! 好吧，参考了其他人的代码审计，无论输入什么都是假密码，真密码在fromCharCode。发现下面的字符串正是关于fromCharCode的。一串十六进制字符先转成十进制，用python写吧再将十进制通过ASCII码转换得到flag （可以对照着表转换也可以写python）...