WooYun.org

网址：http://www.xianlife.com/shop/index.php?act=login&op=forget_password
1.在网址处随便输入一个手机号，若已注册不会提示错误，若没有注册会提示“该手机不存在，请先注册”，这里用Fiddler抓包遍历手机号，可根据响应包长短得到注册手机号；
2.输入某个注册手机号和验证码，进入“验证身份”这步，点击“获取短信验证码”，随机输入四位数，用Fiddler进行截包，因为验证无次数限制，将截取的包复制到Burpsuite进行爆破，得到正确验证码；
3.输入正确验证码，进入下一步“设置新密码”，对密码进行重设即可。
（不知是什么原因之前用burpsuite直接可以截到包，后来截不到了才用的fiddler~）