WooYun.org

http://www.183read.com/ 中邮阅读网
中邮阅读网(www.183read.com)是集期刊、图书、有声阅读、数字订阅于一体的新媒体平台，由中国邮政主办, 是中国邮政旗下唯一的数字媒体发行平台，是邮政报刊发行由单一的实物发行走向实物与数字出版发行相结合的标志性网站。
按照正常找回密码流程，找回密码，到邮箱内查看找回密码链接。
找回密码链接为：

http://www.183read.com/user/login/getpassword3/user_id/164008/code/1779f20a42a8ecfe9dd580c486784aab

该链接由user_id：164008跟一个不知名MD5加密组成，这里我的想法是将其猜解出来，
然后构造找回密码链接..
在google浏览器F12开发者选项下，点击找回邮箱，发现这个id值已经返回了

那么只剩下code后面的这串MD5，这串MD5如果经过一番猜测加密无果..后直接到CMD5解密
1779f20a42a8ecfe9dd580c486784aab （第一次发送）解密为1398400490
55cb902c5b1b83486b71e3aa13a7a931 （第二次发送）解密为1398400853
对比之下，只有后三位数有变动，但是前七位因为找回帐号不同也会变动..
但经过测试，前七位也可以通过google浏览器F12查看到

现在我们可控的有user_id以及MD5解密后的前7位数字
也就是说我们只要将1398400100-1398400999进行批量MD5加密，再对加密后的MD5进行爆破
就可以枚举出正确的找回密码链接
（其实只是三位数的加密跟爆破，速度很快，弄的话不用几分钟）
为了简去繁琐的过程，我用自己的另一个帐号[email protected]测试演示：
发送找回密码链接，获取到user_id:163902

32位MD5解密后的前七位数字为：1398408

然后批量生成后三位：1398408100-1398408999
（burpsuite有自带的可以生成，导出文本）

然后网上随便找个批量加密的工具，批量生成..
然后我们到[email protected]的邮箱比对一下生成的MD5

http://www.183read.com/user/login/getpassword3/user_id/163902/code/53ee32982f5c1de87fb7f7c54d3a2e3e

这个是我用工具生成的批量MD5的文本

完全一致，证明了这个方法的可行性..
这个洞是有史以来耗费过巨资的一次...因为是CMD5的付费解密
第一次让@李旭敏帮忙解了一个，第二次有些想法需要测试再解几个对比，但又不好意思再麻烦他
于是自己冲了20元到CMD5..
简直...