实战 Discuz 论坛刷积分、金币漏洞教程笔记

前言

疫情居家隔离在家，脑海总会冒出学习念头，但苦于学习资料的昂贵使得我们常常无法持续输出。 但功夫不负有心人，一次浏览某网站时发现该DZ站点存在了一个刷积分漏洞，0成本开通了3000人民币的永久会员，于是便有了这篇文章。

本篇教程为学习交流，关键信息已进行脱敏处理，网络并非法外之地，请勿以身试法。

演示环境

Windows 10
Edge
抓包软件
站点普通账号

获取奖励

首先用魔法刷取一些邀请，得到领取奖励的机会

因为测试站点的推广方式非常简单，只需要用户点击链接就算邀请了，所以用软件模拟浏览即可

啪的一下很快啊，任务马上就达标了，可以进行后续操作了

配置软件

新手配置自行搜索，这里只说最重要的：捕获、解密HTTPS连接

开始操作

回到领取奖励界面,然后按以下流程依次操作

1. 开启拦截
   

2. 点击领取奖励
   

3. 找到FD列表里的数据包，选中数据包后按 Shift+R 输入150按回车
   

4. 点击转到（Go）发送数据
   
   

就会将只能领取一次的奖励重复领取多次，达到刷积分的效果。

积分滚雪球

以为这就结束了？

打开兑换积分界面

用同样的方式在积分来回兑换的时候，反复拦截、重复请求、拦截重复拦截重复...
就可以得到

接下来就可以拿着积分优雅的开通站点会员了

也不再有权限的阻碍了

最后记得将桃花兑换成两位数，简简单单才是真

尾巴

本次演示的是DZ漏洞中的其中一种，此方法理论适用于所有未经优化的网站。
再次提醒，本次教程仅为学习交流目的，请勿以身试法！