完成任务的链接形如:
home.php?mod=draw&do=view&id=xx
这个地址最终在 source\class\class_task.php 中被处理
约第370行:
function draw($id) { global $_G; if(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) { showmessage('task_nonexistence'); } elseif($this->task['status'] != 0) { showmessage('task_not_underway'); } elseif($this->task['tasklimits'] && $this->task['achievers'] >= $this->task['tasklimits']) { return -1; } ...... 之后就是获得任务奖励了
总觉得上面这一段少了些什么判断?我们对比下其他代码
约第473行:
function giveup($id) { global $_G; if($_GET['formhash'] != FORMHASH) { showmessage('undefined_action'); } elseif(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) { showmessage('task_nonexistence'); } elseif($this->task['status'] != '0') { showmessage('task_not_underway'); }
这一段是放弃任务的判断,我们看到如果 $this->task['status'] != '0',就是说任务没有开始的时候,是不能放弃任务的。
但是,在上面那段获取任务奖励的代码中,并没有判断任务是否开始,造成了无需领取任务,就可以无限次数获取奖励。
此漏洞还可以用于强行获取由于用户组不符,没有权限领取的任务的奖励。
漏洞详细利用,请见漏洞证明。
漏洞证明:1、新建一个任务,就选择红包类任务吧
2、此时千万不要申请任务,而是进入任务详细页面(完成之后就不能刷了)
home.php?mod=task&do=view&id=2
这样就能看到任务详情了,任务的奖励是 威望+1。
我们把地址改为领取任务奖励
home.php?mod=task&do=draw&id=2
打开这个地址,获得了 威望+1。
不断刷新这个页面,即可不断获得奖励。
修复方案:在 source\class\class_task.php 中的 draw 函数部分,加入任务是否领取的判断
即加上
...... elseif($this->task['status'] != '0') { showmessage('task_not_underway'); }
这样,再次使用漏洞时,就会提示
NO.1:黑客基地 站长:孤独剑客,中国黑客界第二代黑客泰斗人物。 他的名字已经在黑客界家喻户晓。他正演绎属于他自己的黑客生涯,同时他用自身的技术实力征服着每个向往黑客的人。黑客基地自2003年...
Burp Suite是什么? Burp Suite是一个服务平台,包括很多插口,目地是推动和加速进攻程序运行的全过程中不一样的专用工具。全部这种专用工具都是有同样的架构,displayong解决HT...
中国蚁剑是一款开源系统的混合开发网址可视化工具,它关键朝向于合理合法受权的网站渗透测试安全性工作人员及其开展基本实际操作的系统管理员。 通俗化的讲:中国蚁剑是 一 款比水果刀还牛的sh...
我们在第二季第一篇文章内容里《新手Web渗透教程 第一课:数据库漏洞(SQL注入)环境搭建/测试》结构了一个mysql php留言本的系统漏洞自然环境, 大家就为此自然环境为例子来解读...
什么叫Sysinternals? Sysinternals Live是一项服务项目,可使您立即从互联网技术实行Sysinternals专用工具,而不用捕猎和手动式下载神器。只需在命令提示符或Wind...
俗话说练武不练功,十年一场空。如果你学黑客渗透的话,不学编程,那么会被人一直称为脚本小子。这个第二课,我们直接引入python课程。不瞒大家说,python我也是初学,为了照顾流行趋势,我在这里直接...