Hello there, ('ω')ノ

 

まずは、GETBOOに下記でログインして。

　demo／demo

 

 

Settingsメニューで下記へ移動してからUpdateボタンを。

　https://192.168.1.85/getboo/umodifyaccount.php

 

 

Burp Suiteでインターセプトして、右クリックで下記メニューを選択して。

 

 

パラメータを改ざんして、Test in bowserを押して。

　555-555-0199@attack.com

 

 

URLをコピーしておいて。

 

 

インターセプトをオフにすると、表示されていたデータで正常に更新されて。

　555-555-0199@example.com

 

 

さきほど、コピーしたURLを別のブラウザに貼り付けて、Submitを押すと。

　http://burp/show/6/8meaur2864mn7bdegzp94lnx3372ereg

 

 

下記のメールアドレスで更新されたようで。

このタイミングでログアウトしていないことがキモで。

　555-555-0199@attack.com

 

 

その後、ログアウトして再度、下記でログインして。

　demo／demo

 

 

設定内容を確認すると、メールアドレスが改ざんされていた。

 

 

Best regards, (^^ゞ