WooYun.org

有点鸡肋，因为爆破需要一定运算量
但是，很大大型网站都在用cnzz,这个代价还是值得的
首先我们注册个cnzz的统计帐号
然后找回密码
进入邮箱，可以看到
找回密码链接是：
http://i.cnzz.com/main.php?c=findpwd&a=modifypwd&checknum=b98925768cb6bf127846056d86[马赛克]&id=[马赛克]656&tmp=4840268a511ba2e&sendtype=email
我们把tmp=XXXX去掉，输入到浏览器，依旧可以打开密码重置页面，说明这两个参数无用
然后我们再用burp循环跑这个连接10000次，手动打开这个链接，还能打开密码重置，这说明cnzz没有防重复提交，给我们爆破创造了条件
下面分析变量id
发送几次找回密码的邮件，发现这个id是递增的，ok，这个变量也pass,下次用这个id+1即可（保险起见，可以先发送给自己注册的帐号一次,再爆破某个邮箱一次，再发送给自己一次)，如果第一次和第三次的id相隔2，那就说明猜对id了
好了，到了最关键的checknum了，这个数字看起来就像md5,丢到cmd5里一看，果然是，而且是4位的，包括数字和小写字母的组合
这就简单了，用python写个循环，得到所有可能，然后丢到burp里跑就ok了
不过这还不完美，毕竟(26+10)^4数量上百万了,主要看人品...
所以有点鸡肋，除非对方的站特别重要(毕竟服务的客户不是普通人，是是各大网站)