按F12+Fn查看网页源代码,没有得到什么信息
输入用户名和密码,登录后参数显示在url地址栏上,在admin后加 ' 或"判断是字符型还是数字型,根据回显结果得知是字符型且闭合方式为单引号闭合
使用万能密码 ' or 1=1#
得到 flag
注意:
①标准的url上不能有空格,可用编码%20替代。
②Post传入参数后显示在url上,经过url编码空格被转义为'+' (基于 RFC-1738标准);JS使用的编码标准为RFC-2396,将空格转义为%20
按F12+Fn查看网页源代码,没有得到什么信息
输入用户名和密码,登录后参数显示在url地址栏上,在admin后加 ' 或"判断是字符型还是数字型,根据回显结果得知是字符型且闭合方式为单引号闭合
使用万能密码 ' or 1=1#
得到 flag
注意:
①标准的url上不能有空格,可用编码%20替代。
②Post传入参数后显示在url上,经过url编码空格被转义为'+' (基于 RFC-1738标准);JS使用的编码标准为RFC-2396,将空格转义为%20