偶尔打了一下NSCTF,其中大家比较蒙蔽的有一题,叫“表情包”,是常见的颜文字。
这种叫aaencode(可以把任意js编码成颜文字表情),然后在这里全选复制到浏览器的控制台里,运行就报错。
这不太科学,回想以前也是做过这样的题,南邮的网络攻防训练平台上(http://ctf.nuptsast.com/)也有一道aaencode的题目
进去后,全选复制到控制台,也是报错,不过我想不至于都做不了吧,于是还是静下心来分析分析下,这里我推荐使用chrome浏览器,分析这些比较方便
发现是缺了一个定义,既然这样的话,我先找到一个正确的(也就是能还原的)aaencode编码,再对两者进行对比,看看缺少什么
找到一个网站http://utf-8.jp/public/aaencode.html对比下
发现南邮的一个表情少了一个字符,自己添加后,在控制台能正常输出。这一点增强了我做题的信心。
再对比下NSCTF的题目
发现NSCTF的少了很多,
查找元素,然后对着<p>右键Edit as HTML,然后看到了一些<em> </em>之类的,把整个<p>复制出来
这里给出处理方法
最后在chrome(在火狐你就很难看到效果)里运行
运行后,虽然报错了,但是你还是可以点击那个VM
至此,就得到flag了。