教务系统的秘密

发表于2026-01-30|更新于2026-01-30|wp第一场考核赛

|总字数:60|阅读时长:1分钟|浏览量:

1.打开靶场，直接注册登录

2.要求admin才能查看机密信息，Chrl+U可以看到这样一个用来更新信息的函数

3.将bio改成admin并加入role字段尝试伪造admin

4.得到flag

文章作者: Lengkur

文章链接: http://lengkur.github.io/2026/01/30/wp/%E7%AC%AC%E4%B8%80%E5%9C%BA%E8%80%83%E6%A0%B8%E8%B5%9B/%E6%95%99%E5%8A%A1%E7%B3%BB%E7%BB%9F%E7%9A%84%E7%A7%98%E5%AF%86/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Lengkur！