RootMe--CRLF

題目連接:https://www.root-me.org/en/Challenges/Web-Server/CRLFhtml


 

題目提示:ui

1. 在日誌中注入錯誤數據日誌

打開題目是一個登錄框,且下面有日誌,嘗試輸入用戶名acc,密碼123,發現日誌有了記錄htm

顯示認證失敗,看上面有admin認證失敗和認證成功的記錄。日誌記錄並不顯示密碼,咱們能夠嘗試用換行符(%0d%0a)構造payload在日誌中顯示認證成功blog

隨便輸入,用burpsuite攔截修改it

將上面首行部份內容修改成class

username=acc authenticated.%0d%0aabc&password=123

固然把上面acc abc 123換成其餘字符均可以發現日誌下面變成了密碼

acc authenticated.
abc failed to authenticate.

flag:rFSP&G0p&5uAg1%im

本站公眾號
   歡迎關注本站公眾號,獲取更多信息