Lab: User role can be modified in user profile:可以在用户文件中修改用户角色

2023-12-28 09:58:22

靶场内容:

该实验室在 上有一个管理面板/admin。只有 roleid为 2 的登录用户才能访问它。

通过访问管理面板并使用它删除用户来解决实验室问题carlos。

您可以使用以下凭据登录自己的帐户: wiener:peter

靶场解析

  • 现在后面加个/admin:发现报错Admin interface only available if logged in as an administrator
  • 登录账户
  • 更新邮箱(随便输入什么)
  • 截取一个email的JSON包,发送到repeater
    Lab: User role can be modified in user profile:可以在用户文件中修改用户角色
  • 发现roleid为1,说明我们不能访问admin
  • 在下面添加 "roleid":2,发送,看见我们已经修改完成
    Lab: User role can be modified in user profile:可以在用户文件中修改用户角色
  • 这个时候刷新一下账户页面就有管理员权限了
上一篇:python为数组里的每一个元素加1的代码


下一篇:浏览器缓存