Discuz x3.1任务刷积分漏洞（分析与修复）

之前出现的一个重大DZ漏洞，可能现在已经没有人在使用X3.1版本了。大部分都已经更新到3.2或者3.4。这里也做一个记录。

之前这个漏洞也被爆到了乌云安全平台（平台已经被关闭）。

DZ程序中，在完成会员任务时，任务先前的状态缺少判断。

完成任务时的链接形式：home.php?mod=draw&do=view&id=xx

这个地址最终在 source\\class\\class_task.php 中被处理

约第370行：

function draw($id) {
        global $_G;
        if(!($this->task = C::t(\'common_task\')->fetch_by_uid($_G[\'uid\'], $id))) {
                showmessage(\'task_nonexistence\');
        } elseif($this->task[\'status\'] != 0) {
                showmessage(\'task_not_underway\');
         } elseif($this->task[\'tasklimits\'] && $this->task[\'achievers\'] >= $this->task[\'tasklimits\']) {
                return -1;
        }
......

之后就是获得任务奖励了。

我们对比下其他代码

约第473行：

function giveup($id) {
        global $_G;
        if($_GET[\'formhash\'] != FORMHASH) {
                showmessage(\'undefined_action\');
        } elseif(!($this->task = C::t(\'common_task\')->fetch_by_uid($_G[\'uid\'], $id))) {
                showmessage(\'task_nonexistence\');
       } elseif($this->task[\'status\'] != \'0\') {
                 showmessage(\'task_not_underway\');
        }

这一段是放弃任务的判断，我们看到如果 $this->task[\'status\'] != \'0\',就是说任务没有开始的时候，是不能放弃任务的。

但是，在上面那段获取任务奖励的代码中，并没有判断任务是否开始，造成了无需领取任务，就可以无限次数获取奖励。

此漏洞还可以用于强行获取由于用户组不符，没有权限领取的任务的奖励。

漏洞详细利用，请见漏洞证明。

漏洞证明：

1、新建一个任务，就选择红包类任务吧

2、此时千万不要申请任务，而是进入任务详细页面（完成之后就不能刷了）home.php?mod=task&do=view&id=2这样就能看到任务详情了，任务的奖励是 威望+1。我们把地址改为领取任务奖励home.php?mod=task&do=draw&id=2打开这个地址，获得了 威望+1。

不断刷新这个页面，即可不断获得奖励。

修复方案：

在 source\\class\\class_task.php 中的 draw 函数部分，加入任务是否领取的判断

即加上

......
 elseif($this->task[\'status\'] != \'0\') {
        showmessage(\'task_not_underway\');
 }

这样，再次使用漏洞时，就会提示：不是进行中的任务

!

也想出现在这里？ 联系我们吧