越權下載含有“閱讀權限”的插件、下載插件免扣幣
重現步驟:
1、使用管理員賬戶,上傳一個有高閱讀權限的附件 2、使用低權限的用戶賬戶,下載附件,這個時候,Discuz會提示無權下載 此時,瀏覽器中的附件地址形如
forum.php?mod=attachment&aid=Nzg4fDQwNGQzYjMxfDEzODk2OTM4Mzh8MzEyNTR8MjY3Mw%3D%3D
解碼aid 788|404d3b31|1389693838|31254|2673
修改其中的uid部分(這里將uid改成了管理員賬戶:
1) 788|404d3b31|1389693838|1|2673 編碼修改后的aid forum.php?mod=attachment&aid=Nzg4fDQwNGQzYjMxfDEzODk2OTM4Mzh8MXwyNjcz
此時,成功下載原本需要高權限的附件
另外下載的同時還可能會刷新用戶的最后登錄時間(我也因為這個巧合才發現這個漏洞的,因為某些cdn把地址里的base64全部小寫了,造成解析錯誤,解析成了別人的uid,順便刷新了最后登錄時間)
