반응형
첫 화면부터 alert으로 비밀번호를 물어본다.
아무거나 한번 입력해본다.
일단 비웃는게 분명해보이는 메시지를 확인할 수 있다.
돌고있는 스크립트를 F12로 확인해보자.
스크립트 내용을 보니 pass와 pass_enc가 있는걸 확인할 수 있다.
pass 값을 보니 ASCII 값으로 보이므로 해당 값을 변환하면
FAUX PASSWORD HAHA 가 나온다는걸 알 수 있다.
그럼 pass_enc값을 확인해보자
String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));
\x의 경우 16진수를 의미하는것이니 저 숫자들의 16진수를 10진수로 변환하고 ASCII로 변환해보자
>> 55,56,54,79,115,69,114,116,107,49,50
>> 786OsErtk12
FLAG같은걸 확인할 수 있고 이걸 입력해보면 정답인걸 확인할 수 있다.
* 처음에 해당 스크립트를 분석 해 Func을 해석하려고 했는데 함정이었던것 같다.
반응형
'IT > CTF' 카테고리의 다른 글
| [2020angstromctf] The Magic Word - 웹해킹 / 자바스크립트 (0) | 2022.07.01 |
|---|---|
| [RootMe] XSS - Stored 1 [WEB/CLIENT] (0) | 2022.06.30 |
| [RootMe] Javascript - Webpack [WEB/CLIENT] (0) | 2022.06.28 |
| [RootMe] Javascript - Native code [WEB/CLIENT] (0) | 2022.06.28 |
| [RootMe] Javascript - Obfuscation 2 [WEB/CLIENT] (0) | 2022.06.28 |
