Discuz! X3.1 刷分系列漏洞 #1 | wooyun-2014-049502| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-049502

漏洞标题：Discuz! X3.1 刷分系列漏洞 #1

漏洞作者： Coxxs

提交时间：2014-01-22 09:12

修复时间：2014-04-22 09:13

公开时间：2014-04-22 09:13

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-01-22：细节已通知厂商并且等待厂商处理中
2014-01-22：厂商已经确认，细节仅向厂商公开
2014-01-25：细节向第三方安全合作伙伴开放
2014-03-18：细节向核心白帽子及相关领域专家公开
2014-03-28：细节向普通白帽子公开
2014-04-07：细节向实习白帽子公开
2014-04-22：细节向公众公开

简要描述：

Discuz!X最新版本（及部分旧版本所存在的刷分漏洞）
今天论坛有个用户积分突然涨了特别多，一查日志，发现是以前在旧版发现的一个刷分洞。原本以为早就修复了，没想到还存在，那就提交上来吧。

详细说明：

在完成任务时（home.php?mod=draw&do=view&id=xx），任务先前的状态缺少判断
完成任务的链接形如：

home.php?mod=draw&do=view&id=xx

这个地址最终在 source\class\class_task.php 中被处理
约第370行：

function draw($id) {
	global $_G;
	if(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) {
		showmessage('task_nonexistence');
	} elseif($this->task['status'] != 0) {
		showmessage('task_not_underway');
	} elseif($this->task['tasklimits'] && $this->task['achievers'] >= $this->task['tasklimits']) {
		return -1;
	}
......
之后就是获得任务奖励了

总觉得上面这一段少了些什么判断？我们对比下其他代码
约第473行：

function giveup($id) {
	global $_G;
	if($_GET['formhash'] != FORMHASH) {
		showmessage('undefined_action');
	} elseif(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) {
		showmessage('task_nonexistence');
	} elseif($this->task['status'] != '0') {
		showmessage('task_not_underway');
	}

这一段是放弃任务的判断，我们看到如果 $this->task['status'] != '0',就是说任务没有开始的时候，是不能放弃任务的。
但是，在上面那段获取任务奖励的代码中，并没有判断任务是否开始，造成了无需领取任务，就可以无限次数获取奖励。
此漏洞还可以用于强行获取由于用户组不符，没有权限领取的任务的奖励。
漏洞详细利用，请见漏洞证明。

漏洞证明：

1、新建一个任务，就选择红包类任务吧
2、此时千万不要申请任务，而是进入任务详细页面（完成之后就不能刷了）

home.php?mod=task&do=view&id=2

这样就能看到任务详情了，任务的奖励是威望+1。
我们把地址改为领取任务奖励

home.php?mod=task&do=draw&id=2

打开这个地址，获得了威望+1。
不断刷新这个页面，即可不断获得奖励。

修复方案：

在 source\class\class_task.php 中的 draw 函数部分，加入任务是否领取的判断
即加上

......
 elseif($this->task['status'] != '0') {
	showmessage('task_not_underway');
}

这样，再次使用漏洞时，就会提示

不是进行中的任务

版权声明：转载请注明来源 Coxxs@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2014-01-22 11:44

厂商回复：

谢谢。我们会尽快处理

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-049502

漏洞标题：Discuz! X3.1 刷分系列漏洞 #1

相关厂商：Discuz!

漏洞作者： Coxxs

提交时间：2014-01-22 09:12

修复时间：2014-04-22 09:13

公开时间：2014-04-22 09:13

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Coxxs@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-049502

漏洞标题：Discuz! X3.1 刷分系列漏洞 #1

相关厂商：Discuz!

漏洞作者： Coxxs

提交时间：2014-01-22 09:12

修复时间：2014-04-22 09:13

公开时间：2014-04-22 09:13

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-049502"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Coxxs@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：