WooYun.org

首先来到测试站点：http://shop.lenovo.com.cn/index.html，看到站点非https加密协议的

第六感告诉我肯定是有https协议的，然后点击登陆，来到了登陆的界面，可以看到果然是https加密协议

https的话是不能抓包的，抓不到包也就不能谈什么暴力破解和撞库了，这个时候就拿出我偶然的一次发现的轻松“绕过https”加密协议的方法来了~去掉s敲回车，可以已经轻松绕过了https加密协议~

这个时候就可以直接抓包了，看到用户名和密码全部明文传输

然后就可以去撞库了，撞库的时候还有一些问题的：验证码问题和IP限制问题
先说验证码，一开始登陆的时候是没有验证码的，但是多次登陆失败以后会有，有了以后过一会儿或者换个浏览器就没了，这个的话解决就很简单了，因为我发现这个IP限制只是针对同一账号的暴力破解，我们是撞库，一个账号只撞一次，所以不会出现这个问题，暴力破解想要解决验证码问题也很简单：直接在包中设置浏览器变量更改就可以，或者设置延迟撞库也可以的，再或者和下面说的IP问题合在一起也可以

再说IP限制，这里没有测试多少次之后，反正就是多次撞库之后会说频繁登陆，这里直接burp更换IP然后继续撞库就可以了

最后附上一张成功截图，这里为了不造成破坏，只跑了5个账号就停了，而且是我自己注册来模拟撞库的，只是为了证明一下漏洞可行

我擦这个洞本来是漏洞盒子的众测项目，结果我编辑了一上午，提交时候说参数错误，然后看了一下项目结束了，找了找联想又没有安全响应平台，瞬间哭瞎在厕所啊。。幸好有我大乌云
这个洞经历一波三折，撞库出来的整个联想业务账号通用，强烈要求上首页
本该出现在众测中的拿点奖金补贴家用的，结果错过了时间，编辑了一上午饭都没吃发个小礼物行不。。