之前出现的一个重大DZ漏洞,可能现在已经没有人在使用X3.1版本了。大部分都已经更新到3.2或者3.4。这里也做一个记录。
之前这个漏洞也被爆到了乌云安全平台(平台已经被关闭)。
DZ程序中,在完成会员任务时,任务先前的状态缺少判断。
完成任务时的链接形式:home.php?mod=draw&do=view&id=xx
这个地址最终在 source\class\class_task.php 中被处理
约第370行:
function draw($id) {
global $_G;
if(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) {
showmessage('task_nonexistence');
} elseif($this->task['status'] != 0) {
showmessage('task_not_underway');
} elseif($this->task['tasklimits'] && $this->task['achievers'] >= $this->task['tasklimits']) {
return -1;
}
......之后就是获得任务奖励了。
我们对比下其他代码
约第473行:
function giveup($id) {
global $_G;
if($_GET['formhash'] != FORMHASH) {
showmessage('undefined_action');
} elseif(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) {
showmessage('task_nonexistence');
} elseif($this->task['status'] != '0') {
showmessage('task_not_underway');
}这一段是放弃任务的判断,我们看到如果 $this->task['status'] != '0',就是说任务没有开始的时候,是不能放弃任务的。
但是,在上面那段获取任务奖励的代码中,并没有判断任务是否开始,造成了无需领取任务,就可以无限次数获取奖励。
此漏洞还可以用于强行获取由于用户组不符,没有权限领取的任务的奖励。
漏洞详细利用,请见漏洞证明。
漏洞证明:
1、新建一个任务,就选择红包类任务吧
2、此时千万不要申请任务,而是进入任务详细页面(完成之后就不能刷了)home.php?mod=task&do=view&id=2这样就能看到任务详情了,任务的奖励是 威望+1。我们把地址改为领取任务奖励home.php?mod=task&do=draw&id=2打开这个地址,获得了 威望+1。
不断刷新这个页面,即可不断获得奖励。
修复方案:
在 source\class\class_task.php 中的 draw 函数部分,加入任务是否领取的判断
即加上
......
elseif($this->task['status'] != '0') {
showmessage('task_not_underway');
}这样,再次使用漏洞时,就会提示:不是进行中的任务
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
