你的密码在哪里？

GoodXuan

题目链接：http://www.ctf8.com/ctfexercise-competition-12.html

where is your password？
打开题目网址，可以看到需要输入对应的密码才可以得到flag，做这种题时，一般情况下，先用burp抓包，尝试使用万能密码' or true%23 登陆，不过经过测试之后，可以得出结论：密码不在服务器。
这种情况下， 先看页面源码，找到password对应的标签，查看password的属性，发现没有什么可以用的信息，也可以在html的head标签栏里查看外部引入的js文件都有哪些

这里看到有一个关键字password.js，猜测应该是使用js处理的password。在调试器中寻找password.js，代码很长，复制出来，然后分析。

也可以把evel(function *****)改为ducoment.write(****)，将结果输出。之后就会发现一长串的字符，然后解密，输入密码，得到了flag。

竟然没人留言，向快点升级惹 ！！！

GoodXuan

自己占挲发

jiuguan

看到这个paawd.js时想到了,会不会在这,但代码基础太差没看明白  以为是正常的加密  

GoodXuan

jiuguan 发表于 2020-7-3 15:45
看到这个paawd.js时想到了,会不会在这,但代码基础太差没看明白  以为是正常的加密   ...

巧了，我也是卡了好大会儿，我的js代码基础有点差的过分

sjds666

小白，这段JS意思是，把下边的那串密文，用函数给重新组合下，需要得到重新组合之后的那串字符么？