实验目标:
- 了解越权漏洞
- 熟练使用burp
-
打开靶机
-
我们先看一下题目
-
打开网站,有个测试用户
-
我们登入测试用户,这边有个会员名
-
我们使用burp 抓包,去修改会员名,,一般用户的会员名都差不多,我们先只修改后面两位试试。
设置值
-
爆破完之后发现已经爆出其他用户账号,
-
虽然已经爆出账号,但是我们要怎么判断哪个账号是马春生的呢????
我们直接按f12 点击马春生头像,发现会员账号20128880316
-
直接去查找这个账号
-
得到用户名和密码,密码cmd5 解密,
9732343
登入