ichunqiu--竞赛训练营--session欺骗
Posted imanoob
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ichunqiu--竞赛训练营--session欺骗相关的知识,希望对你有一定的参考价值。
操作机:winxp
工具:caidao,burp
根据提示下载web1.exe并解压
打开网页,先用御剑扫一下,扫出很多目录
首先看下admin,发现能够目录遍历,找到zcpassword.php和login.php一个登录一个密码
再从前面下载的web1中查看下zcpassword.php,找到两次输入的name值:newpass和newpass1
进入adminlogin.php,在登陆的时候抓包,将adminlogin.php改为zcpassword.php并修改cookie,将密码改为123456,改完后会报错但是还是修改成功
然后登录adminlogin,在后台的菜单中的【添加下载】中,有一处任意文件上传,上传一句话木马并用caidao连接
以上是关于ichunqiu--竞赛训练营--session欺骗的主要内容,如果未能解决你的问题,请参考以下文章