简便获取超级管理员权限思路

awvs目录扫描扫到一个添加新用户页面

目录

打开发现可以进行注册用户 image-20230129024337441

注册登陆后发现只是普通用户权限

普通用户

只能进行一些普通操作 注册功能抓个包看看

抓包

前面都是一些参数我们的注册信息而oskey&purview就是权限参数 oskey=super&purview=99999 发包即可获得超级管理员权限 登陆后台

改参数

虽然响应包提示302 但是我们去后台登陆发现已经成功注册了一个超级管理员账号了

超级管理员

是这个网站后台的最高权限甚至可以录取学生

录取录取 (2)

已经提交给相关漏洞平台

微信图片_20230129043641

–hacker ekk00