Shikata Ga Nai

Private? There is no such things.

Burp Suiteの機能をつかってCSRFをやってみた

Hello there, ('ω')ノ

 

まずは、GETBOOに下記でログインして。

 demo/demo

 

f:id:ThisIsOne:20200813182332p:plain

 

Settingsメニューで下記へ移動してからUpdateボタンを。

 https://192.168.1.85/getboo/umodifyaccount.php

 

f:id:ThisIsOne:20200813181534p:plain

 

Burp Suiteでインターセプトして、右クリックで下記メニューを選択して。

 

f:id:ThisIsOne:20200813181610p:plain

 

パラメータを改ざんして、Test in bowserを押して。

 555-555-0199@attack.com

 

f:id:ThisIsOne:20200813181708p:plain

 

URLをコピーしておいて。

 

f:id:ThisIsOne:20200813181825p:plain

 

インターセプトをオフにすると、表示されていたデータで正常に更新されて。

 555-555-0199@example.com

 

f:id:ThisIsOne:20200813181938p:plain

 

さきほど、コピーしたURLを別のブラウザに貼り付けて、Submitを押すと。

 http://burp/show/6/8meaur2864mn7bdegzp94lnx3372ereg

 

f:id:ThisIsOne:20200813182014p:plain

 

下記のメールアドレスで更新されたようで。

このタイミングでログアウトしていないことがキモで。

 555-555-0199@attack.com

 

f:id:ThisIsOne:20200813182224p:plain

 

その後、ログアウトして再度、下記でログインして。

 demo/demo

 

f:id:ThisIsOne:20200813182332p:plain

 

設定内容を確認すると、メールアドレスが改ざんされていた。

 

f:id:ThisIsOne:20200813182413p:plain

 

Best regards, (^^ゞ