Dans ce challenge, nous arrivons sur une page avec un bouton login qui déclenche une alerte.
Cette alerte nous demande cette fois-ci un utilisateur et un mot de passe. Ne perdons pas les bonnes habitudes et regardons dans les sources.
On peut bien voir ici les alertes (ou prompt qui sont des alertes avec un champs à remplir), puis l’algorithme qui est là pour vérifier notre mot de passe. Ici il n’est pas en clair mais on peut le déduire assez facilement.
On a un tableau [« GOD:HIDDEN »], ensuite on viens faire quelque chose à la ligne 9 : On récupère la chaine de caractère dans le tableau et on la sépare en morceau en prenant « : » comme frontière. Ensuite avec la ligne 10 et 11 on stocke chacun de ces morceaux dans des variables. Donc TheUsername = « GOD » et ThePassword = « HIDDEN ». Ce sont donc les identifiants.
Encore gagné !
Résumé
| Objectif | Passer un login avec user/mdp |
| Méthode | Trouver les identifiants dans le js et les décoder d’après la fonction |
| Outil | Sources (debugger) |
| Temps | 1min |
| Flag | HIDDEN |
Laisser un commentaire