永久删除你在任何 Discuz! X 论坛的帐号

国内知名开源论坛系统Discuz! X论坛爆漏洞,已登录用户可以通过js脚本删除自己的账号。
具体操作如下:
使用Chrome(或火狐等可以使用Console的浏览器)打开任意一个Discuz! X论坛,登录自己的账号,之后F12打开开发者工具,切换到Console界面,输入下面代码:

location.href=((d=(await(await fetch("./home.php?mod=spacecp&ac=avatar",{credentials:'include'})).text()).match(/\/\/\S+\/images\/ca\S+&ag/g)[0].replace('images/camera.swf?','?m=user&a=delete&'))&&confirm('真的要[永久]删除你的ID?'))?d:'';

如果失败,请使用下面的脚本:

(async function(){location.href=((d=(await(await fetch("./home.php?mod=spacecp&ac=avatar",{credentials:'include'})).text()).match(/\/\/\S+\/images\/ca\S+&ag/g)[0].replace('images/camera.swf?','?m=user&a=delete&'))&&confirm('真的要[永久]删除你的ID?'))?d:'';})()

之后执行,会弹出提示“真的要[永久]删除你的ID?”,确认之后会执行删除操作,有以下几点说明:

页面返回数值>0,说明删除成功;

删除的是 UCenter 内的帐号,UCenter 会通知 Discuz! 删除用户帐号;

通知可能出现延迟,或不成功。因此可能不会立即登出网站;

如果通知最终成功,该帐号及其所有帖子都会从 Discuz! 中删除;

如果通知不成功,帐号登出后也将无法登录。此时可以注册一个新的同名帐号,覆盖原帐号。原帐号信息将被删除,其帖子将无法阅读(但不会删除)

根据我的测试,如果论坛对UCenter目录做了保护,可能执行失败。但大多数论坛,都可成功执行。

点赞
  1. 书生说道:
    Google Chrome Windows 7
    不知道对卡饭还是否有用。反正我是很想很想删除我的账号啦。
    1. snow说道:
      Google Chrome Windows 10
      有用的

发表回复

电子邮件地址不会被公开。必填项已用 * 标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据