三國群俠記暴出大漏洞 - Discuz 4.0 及 4.1 研究及討論

雪狼
0010464

頭銜: Newbie

帖子: 19

精華: 0

積分: 180 點

現金: 8 元

存款: 0 元

閱讀權限: 10

註冊: 2004-10-27

狀態: 離線

#1

大中小

發表於 2007-8-18 11:52 資料個人空間短消息加為好友

三國群俠記暴出大漏洞

題目寫得誇張了點，是為了引起注意，先說聲對不起.

bug描述:

QUOTE:

低等級武將先進低等級的地區打怪,比如小沛,不要逃跑也不用打,然後新打開一頁面,進高等級地區打怪，比如洛陽,這時候怪物仍然是原來低等級那個怪物，但是顯示得卻是在洛陽打怪，這時候打死後,所得的經驗和金錢都是按洛陽標準來的。循環而致,可以達到刷錢和經驗.

我搜索了alan888和discuz都沒發現這個漏洞的提出,更沒有解決方法，也知道作者已經停止開放.

難道就這樣關了三國嗎?

哪位高手能修正下，我用的是for4.1那個，試了繁體版也是有這個問題的,我想5.0的也應該存在這個bug.

個人想了想是否可以這樣,在打怪的時候防止寵物新窗口或同一窗口打開，提示"戰爭還未結束，你真的要退出嗎?",如果他說確定，那就相當於逃跑(因為逃跑的話，再進高等級地區的時候,不會出現上面那個情況),這個代碼應該怎麼加?

[ 本帖最後由雪狼於 2007-8-18 12:02 編輯 ]

gordan
0060328

頭銜: Forum Legend

自述: Banned

帖子: 3793

精華: 0

積分: 3760 點

現金: 4311 元

存款: 12345 元

閱讀權限: 70

註冊: 2006-12-10

狀態: 離線

#2

大中小

發表於 2007-8-18 11:54 資料個人空間短消息加為好友

大陸文

雪狼
0010464

頭銜: Newbie

帖子: 19

精華: 0

積分: 180 點

現金: 8 元

存款: 0 元

閱讀權限: 10

註冊: 2004-10-27

狀態: 離線

#3

大中小

發表於 2007-8-18 12:03 資料個人空間短消息加為好友

QUOTE:

原帖由 gordan 於 2007-8-18 11:54 發表

大陸文

不要告诉我这里有歧视

紀曉嵐
0000832

頭銜: Moderator

自述: Hidden

帖子: 322

精華: 0

積分: 2731 點

現金: 994 元

存款: 0 元

閱讀權限: 100

註冊: 2004-3-19

來自: Hidden

狀態: 離線

#4

大中小

發表於 2007-8-18 12:43 資料個人空間短消息加為好友

QUOTE:

原帖由雪狼於 2007-8-18 12:03 發表

不要告诉我这里有歧视

不會啊你千萬不要誤會啊 DISCUZ 都是國內人整的 ... 怎會歧視呢 ...

邊個
0057619

頭銜: Forum Legend

帖子: 1687

精華: 0

積分: 14281 點

現金: 76 元

存款: 1100 元

閱讀權限: 70

註冊: 2006-11-11

來自: 水星

狀態: 離線

#5

大中小

發表於 2007-8-18 13:10 資料個人空間主頁短消息加為好友

咁咪將所有地區都改為係一樣錢囉

不過你唔講我都唔知 , d會員有咁醒發現到先講啦
就算發現到都係一兩個幾個 , 佢地為左刷錢都唔會講出黎 , then 我覺得冇問題

全新的足球博彩

雪狼
0010464

頭銜: Newbie

帖子: 19

精華: 0

積分: 180 點

現金: 8 元

存款: 0 元

閱讀權限: 10

註冊: 2004-10-27

狀態: 離線

#6

大中小

發表於 2007-8-18 13:19 資料個人空間短消息加為好友

QUOTE:

原帖由邊個於 2007-8-18 13:10 發表

咁咪將所有地區都改為係一樣錢囉

不過你唔講我都唔知 , d會員有咁醒發現到先講啦
就算發現到都係一兩個幾個 , 佢地為左刷錢都唔會講出黎 , then 我覺得冇問題

那樣太不公平了點，級別高的就升不上去.

最關鍵的是竟然有會員發現後，公開在論壇叫價拍賣此方法，真是暈倒!

leowu
0055881

頭銜: Lord

帖子: 542

精華: 0

積分: 6750 點

現金: 0 元

存款: 148 元

閱讀權限: 25

註冊: 2006-10-22

狀態: 離線

#7

大中小

發表於 2007-8-18 14:00 資料個人空間短消息加為好友

之前裝左,因為d人狂刷,整到個壇死左,網存又警告我= =

邊個
0057619

頭銜: Forum Legend

帖子: 1687

精華: 0

積分: 14281 點

現金: 76 元

存款: 1100 元

閱讀權限: 70

註冊: 2006-11-11

來自: 水星

狀態: 離線

#8

大中小

發表於 2007-8-18 20:00 資料個人空間主頁短消息加為好友

回覆 #6 雪狼的帖子

那是現在整個壇都知道這方法了嗎?

同埋你怕升不到級可以學我這樣 , 我是發帖時加 0.x % , 那樣級數越高 , exp就加越多 , 還怕升不了嗎?

全新的足球博彩

雪狼
0010464

頭銜: Newbie

帖子: 19

精華: 0

積分: 180 點

現金: 8 元

存款: 0 元

閱讀權限: 10

註冊: 2004-10-27

狀態: 離線

#9

大中小

發表於 2007-8-18 20:46 資料個人空間短消息加為好友

QUOTE:

原帖由邊個於 2007-8-18 20:00 發表

那是現在整個壇都知道這方法了嗎?
同埋你怕升不到級可以學我這樣 , 我是發帖時加 0.x % , 那樣級數越高 , exp就加越多 , 還怕升不了嗎?

你修改的是include/newthread.inc.php 及 include/newreply.inc.php吗?

[Copy to clipboard] [ - ]

CODE:

$db->query("UPDATE {$tablepre}mypetdata SET mypetexp= mypetexp+10 WHERE username ='$discuz_user'");

那个0.x%是什么乘以什么?

你的代码具体是怎么样的?

邊個
0057619

頭銜: Forum Legend

帖子: 1687

精華: 0

積分: 14281 點

現金: 76 元

存款: 1100 元

閱讀權限: 70

註冊: 2006-11-11

來自: 水星

狀態: 離線

#10

大中小

發表於 2007-8-18 22:39 資料個人空間主頁短消息加為好友

我是這樣：
唔同級數範圍有唔同 % , 越高就會越難升
以下這是用在 newthraed , newreply 再減十倍左右

[Copy to clipboard] [ - ]

CODE:

      $db->query("UPDATE {$tablepre}mypetdata SET mypetexp = mypetexp*1.0003 WHERE username ='$discuz_user' && mypetlevel > 74");
      $db->query("UPDATE {$tablepre}mypetdata SET mypetexp = mypetexp*1.0005 WHERE username ='$discuz_user' && mypetlevel > 64 && mypetlevel < 75");
      $db->query("UPDATE {$tablepre}mypetdata SET mypetexp = mypetexp*1.002 WHERE username ='$discuz_user' && mypetlevel > 49 && mypetlevel < 65");
      $db->query("UPDATE {$tablepre}mypetdata SET mypetexp = mypetexp*1.005 WHERE username ='$discuz_user' && mypetlevel > 16 && mypetlevel < 50");
      $db->query("UPDATE {$tablepre}mypetdata SET mypetexp = mypetexp+400 WHERE username ='$discuz_user' && mypetlevel < 17");

全新的足球博彩

雪狼
0010464

頭銜: Newbie

帖子: 19

精華: 0

積分: 180 點

現金: 8 元

存款: 0 元

閱讀權限: 10

註冊: 2004-10-27

狀態: 離線

#11

大中小

發表於 2007-8-19 23:43 資料個人空間短消息加為好友

非常感谢........