WooYun.org

这个修改密码是根据客户端的“忘记密码？”功能发现的。
正常青年修改密码的流程：

点击忘记密码->选择邮箱方式找回->点击邮箱中修改密码连接->重置密码

wooyun青年修改密码的流程：

打开重置密码的连接，直接修改其他用户密码

http://ugc.moji001.com/mapi/ResetPasswordBefore?E268443E43D93DAB7EBEF303BBE9642F={{****}}&07CC694B9B3FC636710FA08B6922C42B=[[31343031343334363738363430]]&lan=CH

参数说明：
上面连接中{{}}处的内容为注册用户的邮箱+ascii hex编码后内容(即[email protected]编码后为614071712e636f6d，可以用burp的encode功能实现)，是要修改密码的用户的邮箱
[[]]处的内容为java获取的13位当前时间戳+ascii hex编码后内容（31343031343334363738363430解码后为13位时间戳1401434678640）
[[]]处的内容是服务器判断一个修改密码连接是否失效的标准，假如[[]]中的时间戳转换成可以看懂的时间为2014年1月1号12：30，你修改密码的时间为2014年1月1号16：30，那么这个连接就失效了。
换句话说就是：你修改密码时的时间不能大于连接中时间2个小时，2个小时后连接就失效了。
我怎么知道哪个邮箱注册了墨迹天气呢？
http://ugc.moji001.com/sns/[email protected]
改变[email protected]未你要测试的邮箱，如果返回true，表示未注册，返回false，表示已注册。
所有已注册的邮箱都可以通过上面的连接 修改密码。
ps:网上各种库各种邮箱，用burp遍历一次就能得到大量注册用户。
时间戳该怎么得到？
方式一：用java函数得到当前时间的13位时间戳。在之后的两个小时内，[[]]内内容保持当前时间戳编码后的内容不变，修改邮箱即可。
方式二：用自己邮箱注册一个帐号，点击一次忘记密码，邮箱中得到一个连接，使用该连接中的时间戳，即可在两个小时内修改任意邮箱用户密码。