shikata ga nai

Private? There is no such things.

Using Burp to Hack Cookies and Manipulate Sessionsをやってみた

Hello there, ('ω')ノ

 

Burpのバージョンもあがったので。

再度、MutillidaeでCookieをハッキングしてセッションの操作を。

 

f:id:ThisIsOne:20210127084904p:plain

 

ログイン時のリクエストをRepeaterへ。

 

f:id:ThisIsOne:20210127084942p:plain

 

右側のウィンドウでCookieの値が。


f:id:ThisIsOne:20210127084834p:plain

 

usernameを削除してSendすると。

userでログインできて。

 

f:id:ThisIsOne:20210127085841p:plain

 

uidを削除してSendしても。

userでログインできて。

 

f:id:ThisIsOne:20210127090245p:plain

 

PHPSESSIDを削除してSendしても。

userでログインできて。

 

f:id:ThisIsOne:20210127090513p:plain

 

さすがに複数の値を削除すると、Not Logged inに。

 

f:id:ThisIsOne:20210127090641p:plain

 

ちなみにuidの値を変更すると。

 

f:id:ThisIsOne:20210127090757p:plain

 

adminでログインしたとのこと。

 

f:id:ThisIsOne:20210127090838p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain