Глобальная уязвимость сервера

Уязвимость позволяет выбросить любое кол-во предметов от любого игрока на сервере. Информации пока мало, но атаке уже подверглись некоторые крупные проекты в том числе и частично мой (наш?)

Самые очевидные варианты в виде дырявих пакетов мы уже проверили, но этого оказалось мало. Требуется помощь большего кол-ва людей, ибо уязвимость глобальная.

 

Вырезки из конфы, у кого есть мозги и знание джавки приглашаю в конфу по поиску косяка и его решению, но честно говоря нужно просто найти, а пофиксить и так сможем

немного видоса от ломателя :3


Некоторые заметки:

• Предмет можно выкинуть от имени любого игрока, если даже этого предмета у него нет в инвентаре.
• Связано с пакетами
• Скорее всего проблема в самом forge, а именно в пакетах

 

Может быть нужно хорошо анализировать пакеты во время этого "взлома"? Правда, не знаю, как.

 

Включить debug в server.properties. Будет отписывать все пакеты.
Кроме пакетов и быть тут ничего не может, вопрос в том какой.

 

Это 100% дело в пакете. Но пакеты, которые могут что-то заспаунить защищены проверкой непробойной. В этом и суть. Уязвимость есть, а где она - не можем найти уже часа 4.

 

Есть идея что это cpw.mods.fml.common.network.internal.FMLMessage.EntitySpawnMessage, однако пока нет возможности это проверить

 

Оно server->client. Хотя может из-за какого-нибудь бага оно и на сервере работает.

 

Всякое может быть

 

Почти на каждом проекте работает?

 

На каждом который с форджем. Очевидно что проблема среди дополнительных пакетов форджа.

 

Ну грубо говоря используется модифицированый клиент который отправляет левый пакет. Поэтому сам думай где работает

 

А ты уже фиксанул?

 

А если вы не пофиксили, то что именно я нашел... а нашли новый баг ?

 

Ограничить права отправки этого пакета нужно модификацией-модом, правда сам я его не могу написать, простите.
И нужно отыскать этот пакет, только не знаю какой, в настройках сервера включите отладку и выполните заново уязвимость, и увидите, какой пакет делает такую гадость.

 

Помоему не зная пакета, нельзя сделать эту уязвимость.

 

Есть подозрение, что дело в общем моде на этих проектах.

 

немного секретной инфы

Спойлер: ы

https://mojang.com/2015/05/minecraft-1-8-5-security-release/

• [Bug MC-75630] – Exploit with signs and command blocks

https://github.com/MinecraftForge/MinecraftForge/commit/c608e7c04e5ae0417bda8a10deed29cb56a46dea
https://github.com/MinecraftForge/MinecraftForge/commit/9fa51447a237c2f24f1bed041cd6412a05bfb042

 

этож токо с 1.8.
Ниже 1.8 нет такого

 

Просто поделились инфой интересной )

 

эта интересная инфа была пофикшена в спигот 1.8 на первый день когда её обнаружили, но моджанги на стоко криворукие что в 1.8.5 забыли выложить фикс и потратили на фикс больше 4 месяцев..