WooYun.org

首先是任意账户注册

http://m.niiwoo.com/regist.html

随意输入手机号 这里我就用18888888888做测试

点击发送验证码 然后随机随便输入验证码我这里输入888888

提交注册 拦截提交注册请求 修改服务器返回 如图所示2改为1

释放修改后的请求！账户注册成功！

然后是登陆任意账户

http://m.niiwoo.com/lottery/html/regist/login.html

首先成功登陆一个有效的账户，抓取服务器返回 我这里登陆个我测试用的13510145721

抓取返回

清理cookie后重新打开登陆页
输入任意想要登陆的账户 密码随便输入

拦截登陆返回不管他提示的是什么
ps：由于之前18888888888 这个账户我测试了多次搞得账户被锁定了 但是没关系 我想登陆这个账户还是可以随便登陆

修改返回 这里修改的返回就是刚刚登陆成功的账户抓到的服务器返回 只需要修改"mobileNo":"后的手机号，即你想要登陆的账户。

释放修改后的返回 登陆成功 可以查看该账户相关信息 并进行操作

登陆这里因为时效性，如果间隔时间长了就不能成功，首先成功登陆有效账户，再修改有效账户返回。即可成功登陆任意目标账户。
看了下，团贷网http://www.tuandai.com/ 也可以用你我金融的账户进行登陆操作，反之团贷网账户也可以通过你我金融进行任意账户注册登录，也会受此漏洞影响，请一并解决。