RootMe--CRLF
题目连接:https://www.root-me.org/en/Challenges/Web-Server/CRLFhtml
题目提示:ui
1. 在日志中注入错误数据日志
打开题目是一个登录框,且下面有日志,尝试输入用户名acc,密码123,发现日志有了记录htm
显示认证失败,看上面有admin认证失败和认证成功的记录。日志记录并不显示密码,咱们能够尝试用换行符(%0d%0a)构造payload在日志中显示认证成功blog
随便输入,用burpsuite拦截修改it
将上面首行部份内容修改成class
username=acc authenticated.%0d%0aabc&password=123
固然把上面acc abc 123换成其余字符均可以发现日志下面变成了密码
acc authenticated. abc failed to authenticate.
flag:rFSP&G0p&5uAg1%im
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
