Discuz x3.1任務刷積分漏洞說明和修復方法
這個是4月份之前的漏洞的,不知道新版本有沒有修復這個問題,但最新一個VIP會員反饋遇到刷積分的問題,可能是QQ互聯(lián)綁定刷積分導致的,所以這里就把烏云上面的discuz x3.1任務刷積分漏洞的方法拿過來跟大家分享下。
在完成任務時(home.php?mod=draw&do=view&id=xx),任務先前的狀態(tài)缺少判斷
完成任務的鏈接形如:home.php?mod=draw&do=view&id=xx
這個地址最終在 sourceclassclass_task.php 中被處理
約第370行:
function draw($id) {
global $_G;
if(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) {
showmessage('task_nonexistence');
} elseif($this->task['status'] != 0) {
showmessage('task_not_underway');
} elseif($this->task['tasklimits'] && $this->task['achievers'] >= $this->task['tasklimits']) {
return -1;
}
......
復制代碼
之后就是獲得任務獎勵了
總覺得上面這一段少了些什么判斷?我們對比下其他代碼
約第473行:
function giveup($id) {
global $_G;
if($_GET['formhash'] != FORMHASH) {
showmessage('undefined_action');
} elseif(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) {
showmessage('task_nonexistence');
} elseif($this->task['status'] != '0') {
showmessage('task_not_underway');
}
復制代碼
這一段是放棄任務的判斷,我們看到如果 $this->task['status'] != '0',就是說任務沒有開始的時候,是不能放棄任務的。
但是,在上面那段獲取任務獎勵的代碼中,并沒有判斷任務是否開始,造成了無需領取任務,就可以無限次數獲取獎勵。
此漏洞還可以用于強行獲取由于用戶組不符,沒有權限領取的任務的獎勵。
漏洞詳細利用,請見漏洞證明。
漏洞證明:
1、新建一個任務,就選擇紅包類任務吧
2、此時千萬不要申請任務,而是進入任務詳細頁面(完成之后就不能刷了)
home.php?mod=task&do=view&id=2
這樣就能看到任務詳情了,任務的獎勵是 威望+1。
我們把地址改為領取任務獎勵
home.php?mod=task&do=draw&id=2
打開這個地址,獲得了 威望+1。
不斷刷新這個頁面,即可不斷獲得獎勵。
修復方案:
在 sourceclassclass_task.php 中的 draw 函數部分,加入任務是否領取的判斷
即加上
......
elseif($this->task['status'] != '0') {
showmessage('task_not_underway');
}
復制代碼
這樣,再次使用漏洞時,就會提示:不是進行中的任務
