[HGAME]2024 WEEK1 Web复现

前言

继上篇文章

Web有两道题没做出来 都有关java的

一个js混淆 一个是java的rce没做出来

在寒假的目标是肯定能开到java的不少内容的

2048*16

这道题太亏了,因为我见过很多题都是js泄露flag而且打过几场ctf都是泄露的 这次没有发现出来好难受

简单来说我们需要玩到32768分才能拿到flag

正常玩的话得玩个好久,但听用脚本挂的还是修改js的到32768也拿不到flag

我也尝试用脚本挂了 只不过那个脚本算力不强到五千分都算是顶尖了

js在浏览器查看不方便在线格式化一下

Javascript Deobfuscator (willnode.github.io)

最后在500多行发现了一个base64

在600多行又发现一个base64

翻阅后面代码无明显加密,判断突破点就在这两个base64

最后是换表base64

jhat

打开

翻译一下

jhat查询

jhat命令与jmap命令搭配使用，用于分析jmap生成的heap dump文件（堆转储快照）。jhat内置了一个微型的HTTP/HTML服务器，对生成的dump文件分析后，可以在浏览器中查看分析结果。

使用jhat命令，会启动一个http服务，默认端口7000。

按常规推理突破点应该是OQL查询了

翻阅了一下别人的wp

HGAME 2024 WEEK1 WP-CSDN博客

发现师傅用的gpt4,真没想到gpt4还可以秒web,可惜域没有钱买gpt4

这题出的java以目前实力还不是很懂,只能暂且搁浅了

------本文已结束，感谢您的阅读------