Hello there, ('ω')ノ

 

まずは、ユーザでログインして。

 

 

どうやら１００の通貨を持っているようで。

 

 

画像を選択して。

 

 

購入すると。

 

 

 

手持ちの通貨も減るようで。

このような機能は、脆弱性のにおいがするのですが今回はパスということで。

 

 

購入した画像は、ハイクオリティで表示できるようで。

ただし、picidというパラメータが目にとまって。

　http://10.4.130.68/WackoPicko/pictures/high_quality.php?key=highquality&picid=15

 

 

パラメータ値を変更すると購入していない画像も表示できて。

　http://10.4.130.68/WackoPicko/pictures/high_quality.php?key=highquality&picid=13

 

 

さらには、自分のアップロードした画像を確認する際に。

 

 

パラメータにuseridというのも怪しくて。

　http://10.4.130.68/WackoPicko/users/view.php?userid=5

 

 

手探りで変更してみると、wandaのアップロードした画像がわかって。

さらには、userid=9がwandaのidということもわかって。

　http://10.4.130.68/WackoPicko/users/view.php?userid=9

 

 

ユーザ名がわかったので、パスワードも同じものを入れてみると。

 

 

あっけなくログインできてしまって。

 

 

Best regards, (^^ゞ