实验4 web之cookie伪造兼社工大师

web页面如下，默认demo登陆无权限：

 

 

 

 

通过burp抓包发现存在cookie字段：

 

 对cookie后字段进行base64解码后为：

 

 猜测换为管理员邮箱后即可登陆，遂查看源码发现（nwup2008）：

 

 通过网上泄露的社工库查询到为：

 

 

burp中替换为该邮箱并base64编码后发包获取flag！！