AdminLostpassword
这一题密码藏在logo图片里
请求GET /WebGoat/challenge/logo 搜索admin看到密码,使用账号admin和这个密码登录拿到flag
Without password
题目要求:在不知道Larry的密码情况下登录
考虑使用SQL注入
密码输入 123' or 1=1 --
Admin password reset
随便输入admin开头的邮箱,抓包,把host地址改为wolf的地址,竟然过了,应该有问题。
Without account
要求在没有账号,又需要登录的情况下打星。
参考 WebGoatV8.1(challenges)详细过关教程 – 源码巴士 (code84.com)
抓包后请求方式改为HEAD,在响应头显示了flag
查看源代码,当请求方法为GET时,校验是否登录,其他请求方式是可以直接过的。