IDF實驗室之不難不易的js加密

原創 6um1n 2020-02-26 01:58

題目地址:http://ctf.idf.cn/game/web/28/

打開我們看到彈框讓我們輸flag,直接看到源碼,我們看到

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('4 a=1d("\\T\\Q\\Z\\10\\5\\Y\\n\\S\\X\\L\\W\\V\\x","");4 b="\\5\\j\\j\\0\\j\\h\\j\\k\\11\\k\\0\\0\\0\\3\\2\\0\\0\\C\\5\\3\\p\\2\\i\\5\\5\\0\\q\\q\\3\\u\\j\\h";4 c=/.+w.+w.+/P;4 d=t;4 e=a.1(O,y);9($.A(e)==b.B(/7/D,++d).B(/8/D,d*z)){4 f=a.1(t/d,R);9(f.1(y,z)=="\\1b\\M"&&$.A(f.1(t/d,d+E))=="\\p\\2\\6\\3\\i\\p\\3\\2\\i\\q\\u\\3\\n\\3\\h\\u\\6\\2\\h\\5\\6\\k\\i\\k\\i\\2\\2\\0\\6\\C\\5\\6"){r=a.1(15);9(r.m(d)-o==r.m(++d)-o&&r.m(--d)-o==r.m(--d)){4 g=l.H(1e);g=g.v()+g.v();9(r.1((++d)*E,1c)==g.19("\\h\\n\\M\\18")&&c.16(a)){d=l(s)+l(a.17)}}}};9(a.1(F,s)!=l.H(d)||a.1(F,s)=="\\12"){K("\\13\\L\\14\\1a\\N\\N\\J\\J")}U{K("\\I\\G\\I\\G\\x")}',62,77,'x37|substr|x30|x35|var|x66|x31|||if||||||||x65|x34|x33|x36|String|charCodeAt|x61|0x19|x64|x38||0x1|0x0|x62|toLowerCase|_|uff01|0x5|0x2|md5|replace|x39|ig|0x3|0x4|u559c|fromCharCode|u606d|u3002|alert|uff0c|x73|u60f3|0x8|gi|u5165|0x7|x67|u8f93|else|u5e74|u5c11|u5427|x6c|u4f60|u7684|x63|x7a|u989d|u518d|0xd|test|length|x79|concat|u53bb|x6a|0x6|prompt|0x4f'.split('|'),0,{}))

關鍵的js代碼被混淆了,於是我們找到js解密工具(http://tool.lu/js/),解密如下 

var a = prompt("輸入你的flag吧,少年!", "");
var b = "f3373e36c677750779f5d04ff7885b3e";
var c = /.+_.+_.+/gi;
var d = 0x0;
var e = a.substr(0x8, 0x5);
if ($.md5(e) == b.replace(/7/ig, ++d).replace(/8/ig, d * 0x2)) {
	var f = a.substr(0x0 / d, 0x7);
	if (f.substr(0x5, 0x2) == "js" && $.md5(f.substr(0x0 / d, d + 0x3)) == "d0154d5048b5a5eb10ef1646400719f1") {
		r = a.substr(0xd);
		if (r.charCodeAt(d) - 0x19 == r.charCodeAt(++d) - 0x19 && r.charCodeAt(--d) - 0x19 == r.charCodeAt(--d)) {
			var g = String.fromCharC<span style="white-space:pre">	</span>ode(0x4f);
			g = g.toLowerCase() + g.toLowerCase();
			if (r.substr((++d) * 0x3, 0x6) == g.concat("easy") && c.test(a)) {
				d = String(0x1) + String(a.length)
			}
		}
	}
};
if (a.substr(0x4, 0x1) != String.fromCharCode(d) || a.substr(0x4, 0x1) == "z") {
	alert("額,再去想想。。")
} else {
	alert("恭喜恭喜!")
}
答案漸明朗,直接逆向分析 

b.replace(/7/ig, ++d).replace(/8/ig, d * 0x2) = <span style="font-family: Simsun;font-size:14px;">f3313e36c611150119f5d04ff1225b3e //MD5('jiami')</span>
至此falg的第8-12位是jiami

在根據

f.substr(0x5, 0x2) == "js"

分析flag的第5-6位是js

$.md5(f.substr(0x0 / d, d + 0x3)) == "d0154d5048b5a5eb10ef1646400719f1") //MD5("wctf")
分析flag的第0-3是wctf

接着分析r=a.substr(0xd)//flag的第13位至末

r.charCodeAt(d) - 0x19 == r.charCodeAt(++d) - 0x19 //r[1]==r[2]
<pre name="code" class="javascript" style="font-size: 13.3333px;">r.charCodeAt(--d) - 0x19 == r.charCodeAt(--d) //r[1]-0x19==r[0],之後根據正則可知r[0]='_'

r.substr((++d) * 0x3, 0x6) == g.concat("easy")代表r的3-7位是ooeasy


再根據正則和wctf{}的格式,得到falg:wctf{js_jiami_xxooeasy}
















發表評論














所有評論



還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.







相關文章








HITCON2017 babyfirst-revenge v2






6um1n

2020-05-22 17:36:13









IDF實驗室之簡單的PE文件逆向






6um1n

2020-02-26 01:58:28









HITCON2017 babyfirst-revenge v2






6um1n

2020-05-22 17:36:13









IDF實驗室之簡單的PE文件逆向






6um1n

2020-02-26 01:58:28









IDF實驗室之.NET逆向第一題






6um1n

2020-02-26 01:58:18









2015中國網絡安全大賽:框架漏洞真題






6um1n

2018-09-05 01:27:58









2015中國網絡安全大賽:Reinstall






6um1n

2018-09-05 01:27:58









HITCON2017 babyfirst-revenge






6um1n

2018-09-05 01:27:56