[网络安全] 删除任意 Discuz!!!!!!!!!!!!!!! 论坛的账号漏洞

分享链接：https://www.guhei.net/post/jb1611
测试了一下，适用于所有版本的discuz程序，包括最新版！ 漏洞说明:
1、执行后，如果显示大于 0 的整数，说明帐号删除成功。
2、删除的是 UCenter 内的帐号，UCenter 会通知 Discuz! 删除用户帐号。
3、通知可能出现延迟，或不成功。因此可能不会立即登出网站
4、如果通知最终成功，该帐号及其所有帖子都会从 Discuz! 中删除。
5、如果通知不成功，帐号登出后也将无法登录。此时可以注册一个新的同名帐号，覆盖原帐号。原帐号信息将被删除，其帖子将无法阅读（但不会删除）。
没有后悔药，自己其他网站的账号请不要胡乱操作！
步骤：F12 --> 在 Console 中输入：

location.href=((d=(await(await fetch("./home.php?mod=spacecp&ac=avatar",{credentials:'include'})).text()).match(/\/\/\S+\/images\/ca\S+&ag/g)[0].replace('images/camera.swf?','?m=user&a=delete&'))&&confirm('真的要[永久]删除你的ID？'))?d:''; 

然后按下回车：

浏览器会提示：

因为我自己加了 WAF 防御规则，所以这个漏洞在古黑被拦截下来了：

只能删除当前登陆的账号！
本文来自： 删除任意 discuz 论坛的账号漏洞 - 古黑论
原文地址： https://www.guhei.net/post/jb1611

感谢转载本文，请保留原文链接，作者将表示感谢！