摘要：1.抓包修改 ​ 提示修改id，postman修改headers里面的id 分析得到id是admin加admin的base64编码，payload为id: adminYWRtaW4= 请求后又提示请使用主机访问，修改xff, X Forwarded For: 127.0.0.1 再次请求又提示要从谷 阅读全文

摘要：要求登录admin账号 1.登录界面 我们发现有找回密码这个易受攻击点 2.直奔找回密码 通过观察前两个阶段url（reset1.htm1 reset2.html)，我们推测出了第三个阶段的url(reset3.html) 第一阶段 第二阶段 第三阶段 先在重设密码第一阶段输入admin，然后更改u 阅读全文