ichunqiu--竞赛训练营--session欺骗

本文主要是介绍ichunqiu--竞赛训练营--session欺骗，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

操作机：winxp

工具：caidao，burp

根据提示下载web1.exe并解压

打开网页，先用御剑扫一下，扫出很多目录

首先看下admin，发现能够目录遍历，找到zcpassword.php和login.php一个登录一个密码

再从前面下载的web1中查看下zcpassword.php，找到两次输入的name值：newpass和newpass1

进入adminlogin.php，在登陆的时候抓包，将adminlogin.php改为zcpassword.php并修改cookie，将密码改为123456，改完后会报错但是还是修改成功

然后登录adminlogin，在后台的菜单中的【添加下载】中，有一处任意文件上传，上传一句话木马并用caidao连接

这篇关于ichunqiu--竞赛训练营--session欺骗的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！