当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(33) 关注此漏洞

缺陷编号: WooYun-2014-49502

漏洞标题: Discuz! X3.1 刷分系列漏洞 #1

相关厂商: Discuz!

漏洞作者: Coxxs

提交时间: 2014-01-22 09:12

公开时间: 2014-04-22 09:13

漏洞类型: 设计缺陷/逻辑错误

危害等级: 低

自评Rank: 3

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 逻辑错误 设计缺陷

8人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-01-22: 细节已通知厂商并且等待厂商处理中
2014-01-22: 厂商已经确认,细节仅向厂商公开
2014-01-25: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-03-18: 细节向核心白帽子及相关领域专家公开
2014-03-28: 细节向普通白帽子公开
2014-04-07: 细节向实习白帽子公开
2014-04-22: 细节向公众公开

简要描述:

Discuz!X最新版本(及部分旧版本所存在的刷分漏洞)
今天论坛有个用户积分突然涨了特别多,一查日志,发现是以前在旧版发现的一个刷分洞。原本以为早就修复了,没想到还存在,那就提交上来吧。

详细说明:

在完成任务时(home.php?mod=draw&do=view&id=xx),任务先前的状态缺少判断



完成任务的链接形如:

code 区域
home.php?mod=draw&do=view&id=xx



这个地址最终在 source\class\class_task.php 中被处理

约第370行:

code 区域
function draw($id) {


	global $_G;


	if(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) {


		showmessage('task_nonexistence');


	} elseif($this->task['status'] != 0) {


		showmessage('task_not_underway');


	} elseif($this->task['tasklimits'] && $this->task['achievers'] >= $this->task['tasklimits']) {


		return -1;


	}


......


之后就是获得任务奖励了



总觉得上面这一段少了些什么判断?我们对比下其他代码

约第473行:

code 区域
function giveup($id) {


	global $_G;


	if($_GET['formhash'] != FORMHASH) {


		showmessage('undefined_action');


	} elseif(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) {


		showmessage('task_nonexistence');


	} elseif($this->task['status'] != '0') {


		showmessage('task_not_underway');


	}



这一段是放弃任务的判断,我们看到如果 $this->task['status'] != '0',就是说任务没有开始的时候,是不能放弃任务的。

但是,在上面那段获取任务奖励的代码中,并没有判断任务是否开始,造成了无需领取任务,就可以无限次数获取奖励。

此漏洞还可以用于强行获取由于用户组不符,没有权限领取的任务的奖励。

漏洞详细利用,请见漏洞证明。

漏洞证明:

1、新建一个任务,就选择红包类任务吧

2、此时千万不要申请任务,而是进入任务详细页面(完成之后就不能刷了)

code 区域
home.php?mod=task&do=view&id=2



这样就能看到任务详情了,任务的奖励是 威望+1。

我们把地址改为领取任务奖励

code 区域
home.php?mod=task&do=draw&id=2



打开这个地址,获得了 威望+1。

不断刷新这个页面,即可不断获得奖励。

修复方案:

在 source\class\class_task.php 中的 draw 函数部分,加入任务是否领取的判断



即加上

code 区域
......


 elseif($this->task['status'] != '0') {


	showmessage('task_not_underway');


}





这样,再次使用漏洞时,就会提示

code 区域
不是进行中的任务

版权声明:转载请注明来源 Coxxs@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-01-22 11:44

厂商回复:

谢谢。我们会尽快处理

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-01-22 09:18 | 光刃 ( 普通白帽子 | Rank:200 漏洞数:24 | 萝卜白菜保平安)
    2

    RMB的节奏???

    1# 回复此人
  2. 2014-01-22 09:21 | nauscript ( 普通白帽子 | Rank:283 漏洞数:57 | 我淫荡啊我淫荡)
    1

    哇靠 必须关注。。。。早点放出来让常年混迹于各个dz的本吊丝刷一下

    2# 回复此人
  3. 2014-01-22 10:19 | Coxxs ( 实习白帽子 | Rank:34 漏洞数:8 | 节操数:233 | ww)
    0

    @Discuz 纠正一下: 昨天发完漏洞,仔细看了下代码,发现不是没有作判断,只是因为程序升级,以前的判断失效了。上面的分析可以忽略了= = 只需把 0 改为 '0' 即可修复

    3# 回复此人
  4. 2014-01-22 12:06 | 光刃 ( 普通白帽子 | Rank:200 漏洞数:24 | 萝卜白菜保平安)
    0

    危害等级低。重点应用。这么说500块钱到手咯?

    4# 回复此人
  5. 2014-01-22 12:37 | W3C3 ( 路人 | Rank:0 漏洞数:1 | wooyun.org)
    2

    是不是任务漏洞? 如果论坛开启了任务功能,用户先是接取任务,然后等任务完成后领取任务的时候无限领取? 这个BUG,在2013-5月份左右就存在了,当时的出现版本是7.0 到.2.5 现在X3的版本也有。

    5# 回复此人
  6. 2014-01-22 12:37 | W3C3 ( 路人 | Rank:0 漏洞数:1 | wooyun.org)
    0

    @Coxxs 是这样么?

    6# 回复此人
  7. 2014-01-22 16:13 | Coxxs ( 实习白帽子 | Rank:34 漏洞数:8 | 节操数:233 | ww)
    0

    @光刃 这类漏洞会有特别提示的,刷分的话也不到低危吧

    7# 回复此人
  8. 2014-01-22 16:15 | Coxxs ( 实习白帽子 | Rank:34 漏洞数:8 | 节操数:233 | ww)
    0

    @W3C3 差不多。。但不是。。还有这个漏洞?

    8# 回复此人
  9. 2014-01-22 17:36 | W3C3 ( 路人 | Rank:0 漏洞数:1 | wooyun.org)
    0

    @Coxxs 是的。你不知道么?

    9# 回复此人
  10. 2014-01-22 17:58 | Coxxs ( 实习白帽子 | Rank:34 漏洞数:8 | 节操数:233 | ww)
    0

    @W3C3 我刚测试过了,领取的时候提示任务已经完成了。。 X3.1

    10# 回复此人
  11. 2014-01-22 18:08 | W3C3 ( 路人 | Rank:0 漏洞数:1 | wooyun.org)
    0

    @Coxxs 你在discuz.net 搜索里面搜索 任务漏洞 四个大字就知道了反映此问题的最近两天的也有,早期的也有。其中一个帖传送门http://www.discuz.net/forum.php?mod=viewthread&tid=3200164

    11# 回复此人
  12. 2014-01-22 18:15 | Coxxs ( 实习白帽子 | Rank:34 漏洞数:8 | 节操数:233 | ww)
    0

    @W3C3 嗯,看到了。似乎问题不少啊= =#

    12# 回复此人
  13. 2014-01-22 22:59 | W3C3 ( 路人 | Rank:0 漏洞数:1 | wooyun.org)
    0

    @Coxxs 是啊,你是酷Q的作者?

    13# 回复此人
  14. 2014-02-28 17:42 | Coxxs ( 实习白帽子 | Rank:34 漏洞数:8 | 节操数:233 | ww)
    0

    @Discuz! Discuz! X3.1 Release 20140301中,此bug依然未被修复

    14# 回复此人
  15. 2014-03-05 02:33 | mOon ( 路人 | Rank:0 漏洞数:1 | 上线非本人,请勿打扰!)
    0

    How to Create a Log -» Click Here «- ¿Cómo crear un registro? -» Click Aquí «- Support Chat / Chat de Soporte -» Click Here / Click Aquí «- discuz 刷分漏洞 home.php?mod=task&do=view&id=2 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> How to Create a Log -» Click Here «- ¿Cómo crear un registro? -» Click Aquí «- Support Chat / Chat de Soporte -» Click Here / Click Aquí «-

    15# 回复此人

登录后才能发表评论,请先 登录