shikata ga nai

Private? There is no such things.

Gruyereで管理者ユーザをつくってみた

Hello there, ('ω')ノ

 

Gruyereのユーザアカウント作成ページのソースコードを確認してみると。

hidden要素を見つけることができて。

 

f:id:ThisIsOne:20200806192455p:plain

 

もう一つ。

 

f:id:ThisIsOne:20200806192553p:plain

 

2つのhidden要素は、ユーザ作成時にパラメータとして使われていることがわかって。

 

https://192.168.1.83/1142014131/saveprofile?action=new&uid=user&pw=userpass&is_author=True

 

f:id:ThisIsOne:20200806192721p:plain

 

このパラメータ値を改ざんして管理者アカウントの作成を試みることに。

 

f:id:ThisIsOne:20200806194001p:plain

 

下記のようにパラメータ値を変更して実行すると。

 is_author=False

 

f:id:ThisIsOne:20200806194106p:plain

 

何も変わらず。

 

f:id:ThisIsOne:20200806194142p:plain

 

再度、トライすることに。

 

f:id:ThisIsOne:20200806194239p:plain

 

今度は、パラメータ自体を変更することに。

 is_admin=True

 

f:id:ThisIsOne:20200806194326p:plain

 

なんだか成功したようで、画面右上にひとつメニューが追加されて。

 Manage this server

 

f:id:ThisIsOne:20200806194435p:plain

 

Profileメニューの中身も少し変わっていた。

 

f:id:ThisIsOne:20200806194517p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain