实验室：不受保护的管理功能

题目

此实验室有一个未受保护的管理面板。

通过删除用户carlos来完成实验室。

实验室-学徒

不受保护的管理功能 >>

- name: 实验室-学徒
  desc: 不受保护的管理功能 >>
  avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
  link: https://portswigger.net/web-security/access-control/lab-unprotected-admin-functionality
  bgColor: '#001350'
  textColor: '#39d50c'

实操

根据题意，可得实验目标：

• 找到管理面板，访问面板并删除 carlos 用户。

点击 “ACCESS THE LAB” 进入实验室。

实验室首页如下。

需要先找到管理面板的所在位置。

尝试访问/admin路径，未发现。

尝试访问/robots.txt文件，发现一个路径/administrator-panel。

访问刚刚获得的路径，成功进入管理面板，点击 Delete 删除 carlos 用户。

删除成功，实验完成。