Hello there, ('ω')ノ

 

Burpのバージョンもあがったので。

再度、MutillidaeでCookieをハッキングしてセッションの操作を。

 

 

ログイン時のリクエストをRepeaterへ。

 

 

右側のウィンドウでCookieの値が。

 

usernameを削除してSendすると。

userでログインできて。

 

 

uidを削除してSendしても。

userでログインできて。

 

 

PHPSESSIDを削除してSendしても。

userでログインできて。

 

 

さすがに複数の値を削除すると、Not Logged inに。

 

 

ちなみにuidの値を変更すると。

 

 

adminでログインしたとのこと。

 

 

Best regards, (^^ゞ