Thursday, October 23, 2014

HACK.LU CTF 2014: Objection

This guard talks a weird dialect. And why does he talk in such a complicated way?

File source code ada di sini (dan juga pembahasannya): 

https://github.com/ctfs/write-ups/tree/master/hack-lu-ctf-2014/objection

Meski demikian, saya meyangka ini adalah file dalam bahasa LiveScript (http://livescript.net/) dan bukan COCO, dan skripnya bisa jalan dengan “lsc”. Mungkin juga skrip ini kompatibel dengan kedua bahasa tersebut.

Inti dari skrip tersebut adalah menciptakan sebuah object javascript, yang akan mengecek apakah is_admin true sebelum mendapatkan tokennya. Kita bisa memanggil fungsi-fungsi yang didefinisikan (login, get_token), tapi di JavaScript ada fungsi built in __defineGetter__ untuk mendefinisikan getter bagi properti. Dengan mengeset itu untuk is_admin, maka is_admin akan selalu true.

livlescript1

1 comment:

  1. Casino – Odds, Tips, Stats, & Reviews - Airjordan21
    The 강친 Casino get air jordan 18 retro red suede – Odds, Tips, Stats, & Reviews - Airjordan21. Search air jordan 18 retro good website to find air jordan 18 retro men super site your perfect air jordan 18 retro yellow suede for sale balance of events, bonuses and promotions in your inbox.

    ReplyDelete