一、题目信息
二、漏洞利用
1.通过抓包,抓取test登录信息
发现card_id号以及一些回显的账号密码信息
搜索了一下这个id,发现是测试的头像
2.修改id号
分析请求包的逻辑,发现是请求了头像资源后再去请求头像id的详情包,所以根据这个逻辑,修改请求的card_id,就能获得对应card_id的信息,首先找到要查询的card_id
发现账号密码:
账号:m233241
密码:md5解密后,9732343
3.最高权限
| 恭喜!本关KEY: | mozhe276594ba96086a29eb1c72403ed |
