Phòng thí nghiệm này có admin panel tại /admin, dùng để xác định người quản trị bằng cookie có thể làm giả.
/admin
Bạn có thể đăng nhập vào tài khoản của mình bằng thông tin đăng nhập sau:wiener:peter
wiener:peter
Mục tiêu: Truy cập bảng quản trị và sử dụng bảng này để xóa người dùng carlos.
carlos
Duyệt đến /admin
Chuyển đến /login và bật intercept trong Burp Proxy
Có tham số Admin trong POST /login request, sửa tham số này thành True trước khi chuyển tiếp
Duyệt đến /admin và tiếp tục chỉnh sửa tham số như trên.
Tương tự để xóa tài khoản
Hoặc có thể sử dụng Extension EditThisCookie
Last updated 1 year ago
