摘要： 垂直越权 pikachu靶场 先用给的账号登录，发现pikachu账号只能进行查看，admin账号可以进行用户的增删改查，这个漏洞原理是在登录时只验证了是否登录，在登录后就不会验证用户权限. 先登录admin账号，进行添加用户操作，然后用bp截断，发送到repeater，此时不要放包，废包不要让用户 阅读全文