Java-Script; Blick nicht mehr durch

paco89

Stammuser
hallo, ich habe so ne weitere aufgabe gefunden, bei der ich in den quelltext schauen und das password sowie den usernamen rausfinden muss.
allerdings blick ich da nicht mehr durch, deshalb wäre ich über jede hilfe sehr froh...hier der quelltext:

Code:
<!-- Hackit Begins -->
   Aufgabe:
			<br><div class=quote style="width:75%;">
<script type="text/javascript">
<!--
document.write(unescape("%3Cform%3E%0D%0A%3Cp%3EUsername%3A%20%3Cbr%3E%0D%0A%20%20%3Cinput%20type%3D%22text%22%20name%3D%22inputnr2%22%20class=inputbox%3E%0D%0A%3C/p%3E%0D%0A%3Cp%3EPassword%3A%20%3Cbr%3E%0D%0A%3Cinput%20type%3D%22password%22%20class=inputbox%20name%3D%22inputnr1%22%3E%3Cbr%3E%0D%0A%20%20%3Cp%3E%3Cinput%20type%3D%22button%22%20value%3D%22Check%21%22%20name%3D%22Submit%22%20class=button%20onclick%3Djavascript%3Avalidate%28inputnr2.value%2C%22butcher%22%2Cinputnr1.value%2C%22inputfield%22%29%20%3E%0D%0A%3C/p%3E%0D%0A%0D%0A%3C/form%3E%0D%0A%3Cscript%20language%20%3D%20%22javascript%22%3E%0D%0A%0D%0Afunction%20validate%28inputnr1%2Cinputnr2%2Ctext3%2Ctext4%29%0D%0A%7B%0D%0A%20if%20%28inputnr1%3D%3Dinputnr2%20%26%26%20text3%3D%3Dtext4%29%0D%0A%20alert%28%22Good%20Job!%20Login%20korrekt%22%29%3B%0D%0A%20else%20%0D%0A%20%7B%0D%0A%20%20alert%28%22sorry%20thats%20wrong%21%22%29%3B%0D%0A%20%7D%0D%0A%7D%0D%0A%0D%0A%3C/script%3E"));
//-->

</script></div>
<!-- //Hackit Ends -->


also ich vermute mal, dass das ganze verschlüsselt wurde. außerdem taucht das password sowie der username mehrmals auf, weiß nicht welche ich da nehmen soll?

auf die lösung würde ich lieber selber kommen, aber hat jmd. vtl. tipps/Ratschläge für mich?
 

Tsjuder

Stammuser
Schau dir einfach an, was escape(String) bzw. unescape(String) macht und führ das Ganze am Besten dann auch mal aus ;-)
 

paco89

Stammuser
ja, ich hab rausgefunden, dass die ecape(String)-Funktion einen String kodiert. ich nehme unescape macht genau das gegenteil, aber wie kann ich die beiden ausführen?
 

Tsjuder

Stammuser
Code kopieren und lokal ausgeben lassen oder einfach googlen, da habe ich auch eine Seite gefunden, die die Funktion online für dich ausführt.

Da ich selber nicht soviel Ahnung von JavaScirpt habe, fällt mir gerade keine bessere Methode ein, wie man einen String ausgeben kann ohne "document.write(String)", weil die Methode nämlich den unescape(...) Teil direkt wieder als Code interpretiert. So funktioniert es aber auch aufjedenfall (einfach als .html Datei speichern und im Browser öffnen):

Code:
<html>
<script type="text/javascript">
 alert(unescape("%3Cform%3E%0D%0A%3Cp%3EUsername%3A%20%3Cbr%3E%0D%0A%20%20%3Cinput%20type%3D%22text%22%20name%3D%22inputnr2%22%20class=inputbox%3E%0D%0A%3C/p%3E%0D%0A%3Cp%3EPassword%3A%20%3Cbr%3E%0D%0A%3Cinput%20type%3D%22password%22%20class=inputbox%20name%3D%22inputnr1%22%3E%3Cbr%3E%0D%0A%20%20%3Cp%3E%3Cinput%20type%3D%22button%22%20value%3D%22Check%21%22%20name%3D%22Submit%22%20class=button%20onclick%3Djavascript%3Avalidate%28inputnr2.value%2C%22butcher%22%2Cinputnr1.value%2C%22inputfield%22%29%20%3E%0D%0A%3C/p%3E%0D%0A%0D%0A%3C/form%3E%0D%0A%3Cscript%20language%20%3D%20%22javascript%22%3E%0D%0A%0D%0Afunction%20validate%28inputnr1%2Cinputnr2%2Ctext3%2Ctext4%29%0D%0A%7B%0D%0A%20if%20%28inputnr1%3D%3Dinputnr2%20%26%26%20text3%3D%3Dtext4%29%0D%0A%20alert%28%22Good%20Job!%20Login%20korrekt%22%29%3B%0D%0A%20else%20%0D%0A%20%7B%0D%0A%20%20alert%28%22sorry%20thats%20wrong%21%22%29%3B%0D%0A%20%7D%0D%0A%7D%0D%0A%0D%0A%3C/script%3E"));
</script>
</html>
 

lightsaver

Moderator
Genau, einfach mal nach einem online Tool suchen, dass dir unescape ausführt.

Dann mal noch ein Tipp:
JavaScript hackits kann man sehr schön lokal auf seinem eigenen Rechner ausführen und da dann auch einfach den Code ändern. Du kannst dir da z. B. Schleifen einbauen um Vorgänge zu automatisieren (bruteforce wäre da ein Beispiel) oder dir einfach mal werte ausgeben lassen.
 

enkore

New member
Außerdem gibts noch jsc (zumindest bei Linux/Unix gibts das oft und ist meist in einem Paket wie "javascript-common" o.ä. enthalten), was idR. eine interaktive JavaScript-Shell ist, so ähnlich wie die Python-Shell.
 
Auch firebug wäre vlt. zu empfehlen. So kannst du direkt in der Seite (natürlich nur clientseitig :rolleyes:) den Code ändern ohne die Seite erst umständlich speichern und öffnen zu müssen ;)
 
Oben