Помогите Подмена

Стоит лаунчер от сашка+одноразовые сессии, человек смог зайти на сервер под моим ником, пасс стоял 15 символьный изменялся пару недель назад, узнать, его, никто не мог, после взлома поменял, он опять заходит под моим ником, сбрутить пасс в 15+ символов за сутки не реально для школьника, которым и является это юное дарование, подскажите что можно сделать в таком случае.

UPD1 Дарование чуть раньше отписало следующее:
http://floomby.ru/s1/PayV8w спалился DDD автобатник и cjb xray

 

Проверь вход с пустой сессией или пустым паролем. Некоторые вариации системы авторизации грешат этим.

 

Подскажите, пожалуйста, каким образом это проверить.

 

Запустите клиент через батник.

 

Никогда не запускал майн таким образом, можно хотя-бы пример?

 

http://www.rubukkit.org/threads/Запуск-minecraft-БЕЗ-лаунчера.27634/#post-357717
Лайк

 

Попробовал запустить без логина результат: Bad login, да и заходили именно с моего ника.

 

Кто где писал, что надо без логина? я же написал с пустой сессией
И проверь доступ к базе данных, где хранятся все логины и пароли, может он прямиком из базы их берёт (но это уже эпик дыра была бы)

 

А моэнт эта старая добрая дырка с этим -> '

 

Сори туплю, вообщем запускаю вот такой вот батник:

Код:

java -Xms256m -Xmx1024m -Djava.library.path=natives -cp "minecraft.jar;jinput.jar;lwjgl.jar;lwjgl_util.jar;" net.minecraft.client.Minecraft "Nirealto" ""

Выдаёт Bad Login, по поводу базы, не думаю, хотя ничем это подкрепить не могу, кстати ещё хочу отметить что за день до взлома и в день взлома была эпическая нагрузка на сайт(читай логин сервер), примерно в 8 раз выше нормы.[DOUBLEPOST=1370185888,1370185838][/DOUBLEPOST]

А можно по подробнее?

 

Введи в поле логина ' если выпадает ошибка мускуля то веб часть у тебя дырявая

 

Брут сессии?
Сессия я же цифровая, значит брутится просто. Главное найти где и как брутить

 

А смысл брутить сессию если она одноразовая, да и сашок вроде шифрует сессию, хотя возможно я ошибаюсь.
Вот что выдаёт при ввода ' в поле логина:

Заранее извиняюсь за весь бред который пишу, ибо в теме защиты лаунчера я полный 0, ещё и мозг не хочет работать.

 

Дайте линк до ваших скриптов авторизации

 

Т.е. как только была выполнена проверка сессии при заходе на сервер, сессия становится не валидной? (Это же для каждого перезахода нужно проходить авторизацию).

Если алгоритм шифрации известен и обратим, то подобрать ключ или алгоритм обращения реально.

Кавычки не фильтруются... жестоко.

 

Приплыли, у тебя веб часть дырявая, скачай нормальную.

 

Использую систему одноразовых сессий, да для того чтобы зайти на сервер нужно каждый раз открывать лаунчер.
Система одноразовых сессий:

Код:

<?php
    define('INCLUDE_CHECK',true);
    include ("connect.php");
    $user = mysql_real_escape_string($_GET['user']);
    $serverid = mysql_real_escape_string($_GET['serverId']);
    $result = mysql_query("Select $db_columnUser From $db_table Where $db_columnUser='$user' And $db_columnServer='$serverid'") or die (mysql_error());
    if(mysql_num_rows($result) == 1) echo "YES";
    else echo "NO";
    $sessid = generateSessionId();
    mysql_query("Update $db_table SET $db_columnSesId='$sessid' Where $db_columnUser='$user'") or die (mysql_error());
        function generateSessionId(){
    // generate rand num
    srand(time());
    $randNum = rand(1000000000, 2147483647).rand(1000000000, 2147483647).rand(0,9);
    return $randNum;
    }
?>

Не подскажите где можно взять нормальную веб часть?[DOUBLEPOST=1370187629,1370187401][/DOUBLEPOST]

mcsoul.ru/launcher/checkserver.php
mcsoul.ru/launcher/joinserver.php

 

Загугли лаунчер сашка без MySql инъекции. У тебя старая версия, еще без фикса, в свое время этой дырой многих похекали

 

Заменил:

1. Launcher.php
2. Admin.php
3. Joinserver.php

Теперь если ввести в поле ', а пасс оставить пустым выдаёт: Ошибка авторизации(Логин,пароль), значит проблема решена?

 

Угу