WeChall - 2021 Christmas Hippety

Challenge

2021 Christmas Hippety (Stegano, Javascript) -- score: 1

The Easter Bunny is angry, because he hates winter and has to wait so long for easter season and the sun. Can you calm him down? We wish you a merry Christmas 2021!

Solution

Step 1: 查看页面源码

页面描述中 "angry" 是一个可点击链接。HTML 源码揭示了两层意图：

The <a href="/profile/EasterBunny">Easter Bunny</a> is
<a href="hoppety.php" onclick="this.href='hop.php'">angry</a>

• href 原本指向 hoppety.php
• onclick 在点击瞬间将目标改为 hop.php，隐藏了真实路径

Step 2: 直接访问 hoppety.php

绕过 JS 拦截，直接请求 hoppety.php：

$ curl -s https://www.wechall.net/en/challenge/christmas2021/hippety/hoppety.php

返回的 301 页面中，响应体包含明文密码，同时还有另一层 JS 重定向阻止普通访问：

<head><script>window.location.replace('hop.php');</script></head>
<body>HippetyHoppetyConfusion</body>

这就是 Stegano 标签的含义：信息隐藏在页面响应体中，不被用户直接看到。而 Javascript 标签则对应了两层误导机制（onclick 改 href + window.location.replace 自动跳转）。

hop.php 最终只展示一个困惑兔子的 GIF 动画——它是纯粹的诱饵。

Step 3: 提交答案

HippetyHoppetyConfusion