WooYun.org

基友说她女神想要在昵图网下载东西，但是坑爹的昵图网要积分才可以下载，屌丝一枚又没钱，让我看看有办法没，作为好基友的我默默地来到了昵图网，先来到登陆界面，看到是带验证码的

肿么办，不管了，随便输入个用户名burp抓包看看先，然后带到repeater下面测试下回显看看，我先用输入正确的验证码go一下，发现提示用户名不存在

然后注册个用户以后再go一下，先用对的用户名和密码，发现可以正常登陆

验证码不变，这时候再换成错误的密码go一下，发现提示密码错误

然后再换成正确的密码又会登陆成功

综合以上信息总结出:只要第一次的验证码是对的，然后第二次，第三次，第四次。。。。在验证的时候都会是对的，那么，就可以简单的绕过验证码继续我们伟大的暴力破解了，加载了1.02G的用户名字典放服务器上跑了一下午以后，可以看到，已经爆到了一大堆用户了，粗略看了一下要有差不多要有几W（弱口令害死人啊。。），这里随便发几页吧~

我这里随便选了几个看看，全部登陆成功，少则几十积分，多则上千积分

一个5星级素材（最高级）好像才多少分来着，反正这些积分绰绰有余~基友再也不用担心帮女神下载5星素材积分不够啦~