打开压缩包观察web100的内容,看起来好像代码是吧; 改后缀html浏览器打开, 这个东西没有用,继续,查教程,发现有大佬说因为前面有script,基本可以藕断这是js代码,然后大佬又告诉我说把乱码最后的那个 eval改为alert在用浏览器打开就可以出现代码了,我查了一下这个alert到底是什么东西,原来
先把附件下载下来,然后打开,mac自动打开方式是浏览器打开 看到一个输入框,怀疑是sql注入,提交内容按按钮没反应 然后检查元素,看到有乱码 然后本人不会了,太菜了,看别人的WP。 附件下载下来用sublime查看,终于看到了别人所说的”正常“的乱码。 eval()改为alert(),用浏览器打开,弹窗显示
题目附件: 附件1 下载下来是一个压缩包,解压得到一个文件,用记事本打开得知是个html文件,用浏览器打开后,发现是一个输入框 审计代码,发现最开始有一个变量是“_”,最后eval(_)执行了这一串乱码 将eval更改为alert,弹窗中得到了非乱码的代码 观察得到输入框先进行正则表达式匹配,如果满
NaNNaNNaNNaN-Batman 下载附件,用记事本打开,得到一串乱码。 之所以是一串乱码,查了很多,看到一个可以理解的。 文档中不能显示就是编码的问题,虽然文档不能显示,但是不代表浏览器不能理解并显示,我们将文件后缀改成html,文档中出现了一个框框,说明浏览器可以理解这些乱码(这也是后来我们
