在 Discuz! X 系列中，为了方便论坛的运营Discuz! 加入了一种批量邀请链接。管理员可以发布这个链接让无限用户不限佽数的注册：

这个链接的显示条件是：1. 论坛开启了邀请注册功能 2.登录用户对应的用户组有邀请权限 3.该用户组购买邀请码的价格是 0

需要指出嘚是，论坛中的所有用户都有这个链接只是不符合上述条件，这个链接不会在前台显示

观察链接，主要有 u 和 c 两个参数其中 u 是邀请者嘚 uid，c 是用于校验 u 的“签名”换句话说，如果 c 的生成算法/验证方式有漏洞相当于可以获取任意 uid 的邀请链接权限，我们先来看看 c 的生成算法

也就是说，只要有 siteuniqueid就可以生成出任意 $uid 的 c 签名。站点的 siteuniqueid 怎么获得嗯，看了一下 Discuz 代码得出的答案是：一般获取不到。接下来看看 c 的驗证方式

注意：Discuz! 应用中心的部分应用在安装中会上报 siteuniqueid，这些应用的者或许就知道该站点的 siteuniqueid这是一个小安全漏洞，但不是本文的主题

• // [2] 邀请者 uid 所在的用户组的邀请码购买价格为 0

看似两处判断都很合理，没有问题其实 [1] 处的判断是有漏洞的。

• 使用普通的邏辑符号进行比较有。
• 使用不等于(!=)而不是不全等(!==)进行比较，有字符串比较漏洞
  

其中字符串比较漏洞的利用较简单，这里我们讨论看看

c 的值是可控的，如此一来我们只需让 space_key 生成出一个形如 0e34 的字符串即可绕过 [1] 处的判断，有办法做到吗

换句话说，大约每生成 20 万次就能出现一个 0e[0-9]{14} 形式的字符串，用以绕过这个判断20 万个 http 请求在实践中是可行的。

因为这个页面只是生成一串用户可控的 cookies 用于注册页面：$uid,$invite_code,$appid我們不讨论 [2] 的判断（条件有些复杂），直接看注册页面的邀请链接验证代码

• // 返回“邀请码有效”的结果，允许注册 ^_^

注册页面只要过了 [1] 处的判断并传入一个不存在的、并且能生成出指定格式的签名的邀请者 $uid，此后的校验畅通无阻直接返回邀请码有效。

至此只需通过 20 万个請求爆破出一个可生成出特殊格式 space_key 的 uid，即可通过该 uid 和为 “0” 的 c 签名绕过邀请码无限注册用户。

• cookies直接在注册页面注册