題目連接:https://www.root-me.org/en/Challenges/Web-Server/CRLFhtml
題目提示:ui
1. 在日誌中注入錯誤數據日誌
打開題目是一個登錄框,且下面有日誌,嘗試輸入用戶名acc,密碼123,發現日誌有了記錄htm
顯示認證失敗,看上面有admin認證失敗和認證成功的記錄。日誌記錄並不顯示密碼,咱們能夠嘗試用換行符(%0d%0a)構造payload在日誌中顯示認證成功blog
隨便輸入,用burpsuite攔截修改it
將上面首行部份內容修改成class
username=acc authenticated.%0d%0aabc&password=123
固然把上面acc abc 123換成其餘字符均可以發現日誌下面變成了密碼
acc authenticated. abc failed to authenticate.
flag:rFSP&G0p&5uAg1%im