Dans ce challenge, on rencontre un concept aussi nouveau que difficile à prononcer : l’obfuscation (ou obscurcissement). L’idée est de masquer une réelle information sous des méthodes de modification visuelles.
On est encore une fois accueilli par un prompt nous demandant un mot de passe :
on réactive les habitudes des challenges précédents : cancel, inspecter l’élément, source et fouiller dans le script !
On remarque ici qu’aucun mot de passe n’est en clair directement. Par contre, on sait que tout se passe dans le client donc le script contient la réponse. Il faut regarder ce que fait le script avec cette chaine de caractère étrange :
- h correspond à notre proposition de mot de passe
- on compare h avec unescape (?) de la chaîne bizarre.
Qu’est ce que unescape ? Une fonction (plus trop maintenue) qui sert à traiter du texte hexadécimal pour le remplacer par du texte intelligible. Nous allons tester cela, rendez-vous dans la Console cette fois-ci, où nous pouvons utiliser des fonctions javascript de toute sorte et voir le résultat.
Tentons simplement unescape(notre chaine de caractère bizarre) :
Testons le résultat dans la prompt et :
Une nouvelle victoire !
Résumé
| Objectif | Passer une alerte avec mdp |
| Méthode | Trouver le mdp crypté et la méthode de décryptage utilisée, et la réutiliser en clair dans la console |
| Outil | Sources (debugger) / Console |
| Temps | 1min |
| Flag | cpasbiendurpassword |
Laisser un commentaire