Discuz X3 论坛访问推广获得积分漏洞

最近逛白帽社区的discuz版块找找有啥新漏洞可以利用的,发现今年9月份的访问推广漏洞厂商竟然直接无视掉了,果然康盛自从被TX收购之后就越来越没节操了,产品研发周期感觉太短了不说,客服处理问题的效率实在有点低,就比如之前我提交的一个dz的插件出了点小问题,联系了好几天才联系上客服( ̄▽ ̄;) 特别是X3啊,匆匆发布,刚发布的时候各种兼容性问题,BUG层出不穷,漏洞也一大堆,虽然现在升了X3.1……

经测试,所有X3版本的DZ全部中枪,只要开启了访问推广功能就可以刷分,不过还是要取决于后台设置的访问次数限制。 随便找了两个X3的来测试:http://bbs.zerodm.net 和 http://www.xieexx.com/ 均中枪 _(:3」∠)_

以下是原文引用

10173539b4e686648f36e40a550907ce5dc69e05

当X_FORWARDED_FOR头存在并且不为那几种情况时使用这个作为IP地址 因为推广积分是跟访问IP有关的,所以只要修改X_FORWARDED_FOR就可以任意刷积分了

———————————————————————————— 转自乌云

这篇文章有4条评论

  1. 奇客 2013/11/18 #1 回复TA

    老大,这个漏洞如何实用呢,把代码存成php网址改了,提示di9行错误. 有些站就要推广才能成为会员,我想实用这个漏洞.希望您能帮助

    • 哔哩哔哩抖M po主 回复 奇客 2013/11/18 回复TA

      把第一部分那个代码的网址换掉直接就可以在localhost运行啦,别关掉就行了

  2. inlaid harp 2014/5/2 #2 回复TA

    肿么玩?????

  3. arm 2014/11/24 #3 回复TA

    好像推广积分没什么用处啊,看看www.veryarm.com

发表评论

*

List
Love
00:00