WARGAME (51) 썸네일형 리스트형 root-me : web-client / 8) Javascript - Obfuscation 3 [write-up] 가짜 password haha.. ⁉️ 우선 맨날 찾는 개발자 도구. 사용자의 입력은 pass_enc -> , 로 구분되어 tab 에 저장. pass -> ,로 구분되로 tab2에 저장. 중간 소스에서는 tab2를 가지고 작업을 수행하는 듯 하다. 따라서 내가 입력으로 어떤 것을 입력해도 딱히 상관이 없다는 뜻. 생각해보니 처음에 이런 이유로 입력 필드 alert이후 가짜 password haha 라는 문구를 띄웠던 것 같다. 출처- https://webigotr.tistory.com/95 아무튼 주목해야하는 것은 하단에 있는 16진수 값들로 보이니까 이 16진수들을 10진수로 변환한 후 string으로 변환해보자. 일일이 하기 번거롭기 때문에 소스를 짜서 해결할 수 있다. "16진수 문자열".toStr.. root-me : web-client / 7) Javascript - Native code [write-up] 강력한 한마디.. 노 단서 일단 개발자 도구를 습관적으로 연다. 아찔.. 난독화가 되어있는 듯 하다. 일부를 떼어서 구글링해본다. 문제 이름이 javascript - native code 인 점을 감안하면서 구글링 하다가 이 문자열이 난독화된 js 코드라는 것을 알게되었다. 또한 크롬 콘솔에서 끝() 을 지우고.toString()을 입력하면 복호화 시킬 수 있다고 한다. 출처- https://mandu-mandu.tistory.com/231 참고해서 사용해보니 복호화가 되어 문자열이 보였다. 정말 꿀팁인 것 같다. 🍯🍯🍯🍯 따라서 flag : toto123lol root-me : web-client / 6) Javascript - Obfuscation 2 [write-up] 아무것도 없을 땐 개발자 도구. 이전에 풀었던 문제와 비슷한 듯 하다. 디코딩 해보자. 한번 더 숫자들을 가지고 문자로 변환하면 되는 것 같다. 아스키 코드표를 보고 문자로 변환해주면 hDufjdki156 flag 로 입력해보면, 성공! flag : hDufjdki156 root-me : web-client / 5) Javascript - Obfuscation 1 [write-up] 역시 개발자 도구를 사용한다. 두둥 if 문을 보면 pass를 unescape 해 password 입력 폼에 입력하면 된다는 것 같다. * escape() - 알파벳과 숫자 및* , @, - , _ , + , . , / 를 제외한 문자를 모두16진수 문자로 변환 unescape() - 그 역과정 출처: https://delirussum.tistory.com/16 어쨋든 온라인 디코더에 pass 를 입력해 변환해보자. password 로 보이는 문자열로 디코딩된 것 같다. 입력해보면, 이 password 를 flag 로 사용하라는 문구. flag : cpasbiendurpassword root-me : web-client / 4) Javascript - Authentication 2 [write-up] 로그인 인증 관련 문제인 것 같다. 우리의 친구 개발자 도구 살펴보다가 별다른 힌트를 찾을 수 없어서 login.js 로 이동해보았다. TheLists는 GOD:HIDDEN. if 문에서 username 에 TheUsername 을, password 에 ThePassword 를 각각 입력하는 것을 확인, :를 구분자로 사용하여 split하기 때문에 username은 GOD, password 는 HIDDEN이 된다. 다시 문제html 로 돌아와 login 버튼을 누르고 찾은 값들을 입력하면 로그인 성공, 로그인에 사용한 password 를 flag 로 사용하면, flag : HIDDEN root-me : web-client / 3) Javascript - Source [write-up] 역시 개발자도구를 연다. 훑어보던 중 pass == 123456azerty 발견. flag : 123456azerty root-me : web-client / 2) Javascript - Authentication [write-up] 인증 관련 문제인 것 같다. 역시 개발자 도구로 열어보자. username 는 pseudo, password 는 password 라는 것 외에 별다른 특이사항이 없어보인다. 하단에 로그인 버튼을 누르면 아마 login.js 의 Login() 로 값을 전달하는 것 같다. login.js 를 확인해보자. 문제 url 끝에 /login.js 를 입력해서 이동, username = pesudo = 4dm1n password = password = sh.org 확인 후 필드에 입력. password로 쓰인 sh.org 를 flag 로 사용하라는 문구인 것 같다. 성공! root-me : web-client / 1) HTML-disabled buttons [write-up] 19문제 중 첫번째 문제를 풀어보자. 문제 풀이를 시작해보자. 웹사이트가 일시적으로 닫혔다는 문구가 쓰여 있고 입력 필드는 입력이 불가능하게 되어있다. 개발자 도구로 확인을 해보자. 텍스트 입력 폼과 버튼 폼이 disabled 되어있는 것을 볼 수 있다. disabled 를 지워서 입력 폼을 활성화 시킨 후 아무 값이나 입력해보았다. 생각보다 너무 간단하게 flag 획득! flag : HTMLCantStopYou 이전 1 2 3 4 5 6 7 다음
