WooYun.org

测试分析：
在发送6位数字验证码到手机上后，会同时发送一个请求连接，这个连接有个参数timestamp，如timestamp=1374858328263，这个是发送验证码时的当前时间戳。
然后会发送另一个请求，这个请求是返回到输入验证码的页面，这个请求里面就包含三个参数sms[expired_at]，sms[frequency]，sms[retry_at]，他们的值分别是过期时间戳，频率默认为120，重试时间戳。
但是，这个里面的sms[expired_at]和sms[retry_at]的值，也就是时间戳，是随着前一个请求中的timestamp的值确定的。如timestamp=1374858328263，则sms[retry_at]的值就是1374859528263，timestamp和sms[retry_at]之间相差120秒。然后sms[expired_at]的值就是1374861328263，sms[retry_at]和sms[expired_at]相差180秒。
通过两天的测试，在不改任何数据的情况下，到达sms[expired_at]中的时间后，验证码就会过期，但是当你把时间戳改大后，验证码的有效时间也就会响应的变长。但是这里的sms[frequency]不知道是干什么的，原先以为是timestamp和sms[retry_at]之间相差120秒，这个120秒相关，或者是限制的测试次数，但是改成1后，一样成功爆破，也许上面两种猜测都不正确。
所以通过上面的分析，我们在第一次请求的timestamp中就把值，把时间戳设置大一些，然后，sms[expired_at]的值，也就是过期时间也会变得很大，这样可以绕过现在，进行破解验证码，方法过程如下。
输入手机号：

选择通过手机找回方式。6位数字验证码就会发送到手机：

然后抓包，改包，更改第一次请求的时间戳：

然后看到过去时间也改变了，然后把频率改为1：

然后随便输入一个验证码，抓包进行爆破：

通过返回信息长度以及返回的信息可以确定成功爆破验证码，这里的验证码只能用一次，所以不用返回页面在输入正确的验证码，这里爆破正确后，返回的信息里面就是重置密码的连接：

错的页面如下：

复制返回的连接，可以输入新密码了：

成功重置：