Discuz x3.1任务刷积分漏洞说明和修复方法

这个是4月份之前的漏洞的，不知道新版本有没有修复这个问题，但最新一个VIP会员反馈遇到刷积分的问题，可能是QQ互联绑定刷积分导致的，所以这里就把乌云上面的discuz x3.1任务刷积分漏洞的方法拿过来跟大家分享下。

在完成任务时（home.php?mod=draw&do=view&id=xx），任务先前的状态缺少判断

完成任务的链接形如：home.php?mod=draw&do=view&id=xx

这个地址最终在 source\class\class_task.php 中被处理

约第370行：

function draw($id) {

        global $_G;

        if(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) {

                showmessage('task_nonexistence');

        } elseif($this->task['status'] != 0) {

                showmessage('task_not_underway');

        } elseif($this->task['tasklimits'] && $this->task['achievers'] >= $this->task['tasklimits']) {

                return -1;

        }

......

复制代码

之后就是获得任务奖励了

总觉得上面这一段少了些什么判断？我们对比下其他代码

约第473行：

function giveup($id) {

        global $_G;

        if($_GET['formhash'] != FORMHASH) {

                showmessage('undefined_action');

        } elseif(!($this->task = C::t('common_task')->fetch_by_uid($_G['uid'], $id))) {

                showmessage('task_nonexistence');

        } elseif($this->task['status'] != '0') {

                showmessage('task_not_underway');

        }

复制代码

这一段是放弃任务的判断，我们看到如果 $this->task['status'] != '0',就是说任务没有开始的时候，是不能放弃任务的。

但是，在上面那段获取任务奖励的代码中，并没有判断任务是否开始，造成了无需领取任务，就可以无限次数获取奖励。

此漏洞还可以用于强行获取由于用户组不符，没有权限领取的任务的奖励。

漏洞详细利用，请见漏洞证明。

漏洞证明：

1、新建一个任务，就选择红包类任务吧

2、此时千万不要申请任务，而是进入任务详细页面（完成之后就不能刷了）

home.php?mod=task&do=view&id=2

这样就能看到任务详情了，任务的奖励是 威望+1。

我们把地址改为领取任务奖励

home.php?mod=task&do=draw&id=2

打开这个地址，获得了 威望+1。

不断刷新这个页面，即可不断获得奖励。

修复方案：

在 source\class\class_task.php 中的 draw 函数部分，加入任务是否领取的判断

即加上

......

elseif($this->task['status'] != '0') {

        showmessage('task_not_underway');

}

复制代码

这样，再次使用漏洞时，就会提示：不是进行中的任务