下载附件,打开后一堆乱码
看开头是
分析是js代码,后缀名改为.html,用浏览器打开
发现是一个搜索框,随便输入也没有反应,看了下源代码也是乱码,只能回去研究那堆乱码,这里代码不太懂,参考网上的,是eval没有执行$()函数,仅执行了字符串,导致乱码,因此页面只显示input标签的内容。
可以将eval改为alert弹窗,显示完整的源码
在这里将eval改成alert,在用浏览器打开
发现弹窗中出现了完整的源码
代码审计,要求是:1, 16个字符长度,2, ^表示开头一定要匹配到be0f23,$表示结尾一定要匹配到e98aa
构造粗来 be0f233ac7be98aa
得到flag
还有另一种方法是将部分代码放在控制台里
参考文章:https://www.jianshu.com/p/67b7551d7dad
2020.7.14 公瑾