1、先把靶场搭在网站目录下
2、去浏览器访问这个文件,进行初始化,然后再创建一个管理员账户,模拟受害者,数据库的用户名和密码就是自己的用户名和密码,然后点击“管理网站”进入后台登录系统,我这里就不放过程截图了,最后的效果就是这样的
我们既然想要修改他的数据,那我们得先知道他修改数据的包是什么,在复现这里因为我们可以用BP直接抓包,实战中就需要自己去找了
3、抓取修改数据的包
打开靶场修改信息的界面
输入信息,并打开代理,抓包
接下来鼠标右键---相关工具---生成CSRFPoC---复制html
4、在我们的网站目录下新建一个html文件,把刚刚复制的代码复制进去,并保存
5、接下来打开另一个浏览器,模拟受害者,访问我们刚刚搭建的网站,但是要确保受害者是在登录状态,当我们用以前的管理员账号密码登录时发现登录不上了
用我们刚刚修改的账号密码就可以的登录上了,说明我们已经修改了受害者的账号密码,这样我们就成功了
扫一扫
565
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
