密码找回漏洞--验证码爆破

密码找回漏洞（找回别人的密码，变相盗号）
此漏洞主要用于修改密码时不需要输入原密码，网站通过验证码决定是否是本用户修改，并且网站的验证码机制没有时间（或者时间在一分钟以外最好，方便爆破）和次数限制，而且我们需要知道别人的账号。
而且爆破验证码最好是爆破四位的，六位的话可能需要更多时间。
靶场地址：
408362692@qq.com&type=ok"">http://59.63.200.79:8010//hahq_Admin/?umail=408362692@qq.com&type=ok
管理员账号：admin
登录地址：http://59.63.200.79:8010//hahq_Admin
步骤：
填写账号和新密码，和验证码（先随便写一个），抓包——-在验证码部分爆破，0000到9999总有一个是可能正确的，一旦有一个正确的，我们就修改成功了，我们的新密码即可以使用了。下面演示：

登录访问url后面不要加参数。否则会影响我们的登录。
成功进入。

找到flag。