内容描述:修改某网站自己的密码,进而控制该网站其他用户的账号
思路:注册网站的账号,然后修改密码,在提交密码的页面修改对应的用户名。
靶机:win2k8+phpstudy+metinfo
攻击机:Burpsuite
1:打开metinfo网站,在首页的最下面找到“会员中心”来注册一个账户
2:修改张三儿的密码,开启BurpSuite抓包。这里密码部分直接写好
浏览器这边可以看到操作成功了
3:尝试登录admin
登录失败,原因在于会员账户里面没有这个账户
但是在后台管理页面中可以登录,并且可以看到会员里面只有张三儿一个用户,没有admin用户