Hello there, ('ω')ノ
まずは、ユーザでログインして。
どうやら100の通貨を持っているようで。
画像を選択して。
購入すると。
手持ちの通貨も減るようで。
このような機能は、脆弱性のにおいがするのですが今回はパスということで。
購入した画像は、ハイクオリティで表示できるようで。
ただし、picidというパラメータが目にとまって。
http://10.4.130.68/WackoPicko/pictures/high_quality.php?key=highquality&picid=15
パラメータ値を変更すると購入していない画像も表示できて。
http://10.4.130.68/WackoPicko/pictures/high_quality.php?key=highquality&picid=13
さらには、自分のアップロードした画像を確認する際に。
パラメータにuseridというのも怪しくて。
http://10.4.130.68/WackoPicko/users/view.php?userid=5
手探りで変更してみると、wandaのアップロードした画像がわかって。
さらには、userid=9がwandaのidということもわかって。
http://10.4.130.68/WackoPicko/users/view.php?userid=9
ユーザ名がわかったので、パスワードも同じものを入れてみると。
あっけなくログインできてしまって。
Best regards, (^^ゞ