Хостинг серверов Minecraft playvds.com
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
  2. Вы находитесь в русском сообществе Bukkit. Мы - администраторы серверов Minecraft, разрабатываем собственные плагины и переводим на русский язык плагины наших собратьев из других стран.

Фикс Уязвимости в ядре и модах [1.7/1.6]

Тема в разделе "Управление сервером Bukkit", создана пользователем Firkys, 9 июн 2015.

  1. Прогульщик

    Прогульщик Участник Пользователь

    Баллы:
    36
    Задана...
    --- Сообщения объединены: 26 июн 2016, предыдущее сообщение: 26 июн 2016 ---
    Для миров с границей тоже самое пишет.
     
  2. Mr Hosting
  3. oleg57zls

    oleg57zls Старожил Пользователь

    Баллы:
    173
    Skype:
    BlayzerQ
    Имя в Minecraft:
    Blayzer
    Не задана потому что -_-
     
  4. Прогульщик

    Прогульщик Участник Пользователь

    Баллы:
    36
    Код (Text):
    1. >wb list
    2. [12:52:14 INFO]: Default border shape for all worlds is "elliptic/round".
    3. [12:52:14 INFO]: World "world" has border radius 3500 at X: 1744.5 Z: 1849.5
    4. [12:52:14 INFO]: World "DIM3" has border radius 7500 at X: 1676.5 Z: 1645.5
    5. [12:52:14 INFO]: World "DIM-1" has border radius 3000 at X: 166.5 Z: 265.5
    6. >wb dim3 fill 20 208 false
    7. [12:52:24 INFO]: World generation task is ready for world "dim3", attempting to process up to 20 chunks per second (default 20). The map will be padded out 208 blocks beyond the border (default 208). Parts of the world which are already fully generated will be skipped.
    8. [12:52:24 INFO]: This process can take a very long time depending on the world's border size. Also, depending on the chunk processing rate, players will likely experience severe lag for the duration.
    9. [12:52:24 INFO]: You should now use wb fill confirm to start the process.
    10. [12:52:24 INFO]: You can cancel at any time with wb fill cancel, or pause/unpause with wb fill pause.
    11. >wb fill confirm
    12. [12:52:28 INFO]: [WorldBorder] world: dim3  padding: 208  repeats: 1  ticks: 1
    13. [12:52:28 INFO]: [WorldBorder] [Fill] No border found for world "dim3"! (free mem: 4195 MB)
    14. [12:52:28 INFO]: The world map generation task failed to start.
    15.  
    --- Сообщения объединены: 26 июн 2016, предыдущее сообщение: 26 июн 2016 ---
    Мда, я понял в чём ошибка, надо названия миров с больших буков писать... :rolleyes:
     
  5. Прогульщик

    Прогульщик Участник Пользователь

    Баллы:
    36
    Внимательно описание темы прочтите
     
  6. Kirich

    Kirich Активный участник Пользователь

    Баллы:
    78
    Разрабы не пофиксили?
     
  7. alexandrage

    alexandrage Старожил Пользователь

    Баллы:
    173
    Skype:
    alexandr0116
    Так проверка на оп и есть фикс, вруби ее и все.
     
  8. Aнатолий

    Aнатолий Старожил Пользователь

    Баллы:
    103
    Skype:
    sasay1337
    Имя в Minecraft:
    4epB9Ik
    В теме остались еще люди которые шарят в поисках таких уязвимостей?

    Есть некий сервер. Все что в этом списке давно перекрыто.
    На нем есть "постоянный" игрок (VPN, ChangeHWID и остальные прелести обходов бана)
    Заходя на сервер - спавнит лут в сундуках по указанным координатам
    2жды пересматривали IC на косяк (ибо ну очень похоже), там все чисто..
    Логов естественно не каких (100% действует какой то мод, это обьясняет появление предметов даже с вырезанным крафтом)
    Из списка модов глаза упали на 3 мода (DraconicEvolution, а так же ZTones и Vending [барт подсказал])
    Список модов:

    Технические
    :
    Applied Energistics 2 (+ AE2 Stuff, ExtraCells)
    Big Reactors
    Buildcraft 7
    Draconic Evolution
    EnderIO
    Forestry
    IndustrialCraft 2 Experimental (+ Advanced Solar Panels, Nuclear Control; Combo Armors; Gravitation Suite; IC2 Backpack HUD)
    Mekanism 9
    OpenBlocks
    OpenComputers (+ Computronics, OpenGlasses, OpenPrinter)
    OpenSecurity
    OpenModularTurrets
    PowerConverters
    Project Red
    Railcraft
    Tinkers Construct (+ Tinker’s Mechworks, ExtraTiC)
    Thermal Expansion
    Wireless Redstone Chicken Bones Edition

    Декоративные:
    Biomes O’Plenty
    Carpenter’s Blocks
    Chisel 2 (+ ChiselTones)
    CustomNPCs
    Dragon’s Radio Mod
    Hats
    MalisisAdvert
    MalisisDoors
    MrCrayfish’s Furniture Mod
    Realistic World Gen
    Streams
    Ztones

    Интерфейс:
    Damage Indicators Mod
    Inventory Tweaks
    Mouse Tweaks
    NEI (+ NEI Addons)
    Rei’s Minimap Mod
    Waila

    Производительность:
    Fastcraft
    Optifine

    Утилитарные:
    Dynmap (+ Factions Addon)
    Ender Storage
    IronChests
    JumpPad++
    OmniWrench
    Pam’s HarvestCraft
    TooManyDanyOres
    No More Recipe Conflicts
    Vending Blocks

    Но самые большие подозрения упали на мод DraconicEvolution, у него есть свой обработчик TileEntity, к тому же он умеет обновлять NBT своих сундуков со стороны клиента по некоторым параметрам..
    (Я не разбираюсь в модо-писании клиент/сервер так что не ругайтесь, это лишь предположение основанное на логике)
    Код обработчика тайлов
    Код (Java):
    1.  
    2. package com.brandon3055.draconicevolution.common.network;
    3.  
    4. import com.brandon3055.draconicevolution.common.container.ContainerDataSync;
    5. import com.brandon3055.draconicevolution.common.tileentities.TileObjectSync;
    6. import com.brandon3055.brandonscore.common.utills.DataUtills;
    7. import cpw.mods.fml.common.network.simpleimpl.IMessage;
    8. import cpw.mods.fml.common.network.simpleimpl.IMessageHandler;
    9. import cpw.mods.fml.common.network.simpleimpl.MessageContext;
    10. import cpw.mods.fml.relauncher.Side;
    11. import io.netty.buffer.ByteBuf;
    12. import net.minecraft.client.Minecraft;
    13.  
    14. /**
    15.  * Created by Brandon on 14/11/2014.
    16.  */
    17. public class TileObjectPacket implements IMessage {
    18.  
    19.     int x;
    20.     int y;
    21.     int z;
    22.     short index;
    23.     short dataType = -1;
    24.     Object object;
    25.     boolean isContainerPacket;
    26.  
    27.     /**
    28.      * Used for Tile and Container synchronization
    29.      */
    30.     public TileObjectPacket() {
    31.     }
    32.  
    33.     public TileObjectPacket(TileObjectSync tile, byte dataType, int index, Object object) {
    34.         this.isContainerPacket = tile == null;
    35.         if (!isContainerPacket) {
    36.             this.x = tile.xCoord;
    37.             this.y = tile.yCoord;
    38.             this.z = tile.zCoord;
    39.         }
    40.         this.dataType = dataType;
    41.         this.object = object;
    42.         this.index = (short) index;
    43.     }
    44.  
    45.     @Override
    46.     public void toBytes(ByteBuf bytes) {
    47.         bytes.writeBoolean(isContainerPacket);
    48.  
    49.         if (!isContainerPacket) {
    50.             bytes.writeInt(x);
    51.             bytes.writeInt(y);
    52.             bytes.writeInt(z);
    53.         }
    54.  
    55.         bytes.writeByte(dataType);
    56.         bytes.writeShort(index);
    57.  
    58.         DataUtills.instance.writeObjectToBytes(bytes, dataType, object);
    59.  
    60.     }
    61.  
    62.     @Override
    63.     public void fromBytes(ByteBuf bytes) {
    64.         isContainerPacket = bytes.readBoolean();
    65.  
    66.         if (!isContainerPacket) {
    67.             x = bytes.readInt();
    68.             y = bytes.readInt();
    69.             z = bytes.readInt();
    70.         }
    71.  
    72.         dataType = bytes.readByte();
    73.         index = bytes.readShort();
    74.  
    75.         object = DataUtills.instance.readObjectFromBytes(bytes, dataType);
    76.     }
    77.  
    78.     public static class Handler implements IMessageHandler<TileObjectPacket, IMessage> {
    79.  
    80.         @Override
    81.         public IMessage onMessage(TileObjectPacket message, MessageContext ctx) {
    82.             if (ctx.side == Side.CLIENT) {
    83.                 if (message.isContainerPacket) {
    84.                     ContainerDataSync container = Minecraft.getMinecraft().thePlayer.openContainer instanceof ContainerDataSync ? (ContainerDataSync) Minecraft.getMinecraft().thePlayer.openContainer : null;
    85.                     if (container == null) return null;
    86.                     container.receiveSyncData(message.index, (Integer) message.object);
    87.                 } else {
    88.                     if (!(Minecraft.getMinecraft().theWorld.getTileEntity(message.x, message.y, message.z) instanceof TileObjectSync))
    89.                         return null;
    90.                     ((TileObjectSync) Minecraft.getMinecraft().theWorld.getTileEntity(message.x, message.y, message.z)).receiveObjectFromServer(message.index, message.object);
    91.                 }
    92.             } else {
    93.                 if (message.isContainerPacket) {
    94.                     ContainerDataSync container = ctx.getServerHandler().playerEntity.openContainer instanceof ContainerDataSync ? (ContainerDataSync) ctx.getServerHandler().playerEntity.openContainer : null;
    95.                     if (container == null) return null;
    96.                     container.receiveSyncData(message.index, (Integer) message.object);
    97.                 } else {
    98.                     if (!(ctx.getServerHandler().playerEntity.worldObj.getTileEntity(message.x, message.y, message.z) instanceof TileObjectSync))
    99.                         return null;
    100.                     ((TileObjectSync) ctx.getServerHandler().playerEntity.worldObj.getTileEntity(message.x, message.y, message.z)).receiveObjectFromClient(message.index, message.object);
    101.                 }
    102.             }
    103.             return null;
    104.         }
    105.     }
    106. }
    107.  
    108.  

    Подскажите может быть дело в чем то другом, или ваши предположения того как он меняет содержимое контейнеров не имея ни каких полномочий.
    Заранее благодарен..

    P.S Версии подозреваемых модов:
    [Draconic-Evolution] 1.7.10 v1.0.2h
    [Vending] 1.7.10 v1.2.3
    [ZTones] 1.7.10 v2.2.1
    -=======-
    [IndustrialCraft 2] 1.7.10 v2.2.814
     
    Последнее редактирование: 8 окт 2016
  9. Shevchik

    Shevchik Старожил Пользователь

    Баллы:
    173
    Имя в Minecraft:
    _Shevchik_
    По этому куску кода не очен понятно но вполне возможно что это оно.
    Просто логгируйте все CustomPayload пакеты и смотрите что он шлёт.
     
  10. Aнатолий

    Aнатолий Старожил Пользователь

    Баллы:
    103
    Skype:
    sasay1337
    Имя в Minecraft:
    4epB9Ik
    Ждать этого чела (не зная ничего о нем), пока он повторит процедуру и смотреть что он шлет (не известно куда) - приведет к тонне попыток что то поймать, а это черевато разрухой в экономике и дальнейшими откатами..

    Такой вариант реально невозможен :(
    Нужно найти дыру без использования мышеловки..
     
  11. oleg57zls

    oleg57zls Старожил Пользователь

    Баллы:
    173
    Skype:
    BlayzerQ
    Имя в Minecraft:
    Blayzer
    Что лучше, тыкать пальцем в небо или отталкиваться от каких либо данных?
    К тому-же ты даже версию модов не написал.
     
  12. Aнатолий

    Aнатолий Старожил Пользователь

    Баллы:
    103
    Skype:
    sasay1337
    Имя в Minecraft:
    4epB9Ik
    Это и будет тыкание пальцем в небо..
    Когда он это сделает, кто это сделает, что сделает, как сделает - мы не знаем
    Собирать все пакеты на сервере с онлайном 70+ думаю ну не к чему не приведут.
    Знать бы хотя-бы логин или мод, чтоб отсеевать лишнее

    Собирать все пакеты поочередно от каждого мода - это больше 10 его удачных попыток которые не будут не каким образом отловлены, и остановлены.
    Опять же откаты.. Что в принципе не разумно на сервере с таким онлайном.
     
  13. TheKoljas

    TheKoljas Активный участник

    Баллы:
    61
    Люди остались =).80 проц, что это драконик, пару месяцев назад ковырял его.....Надо сделать логгер CustomPayload пакетов от этого мода.Я думаю, что мусора много не будет.Меня, кстати, таким образом спалили на редсервере с хаком креатива через серверную часть NEI.
     
    Последнее редактирование: 9 окт 2016
  14. alexandrage

    alexandrage Старожил Пользователь

    Баллы:
    173
    Skype:
    alexandr0116
    Ну вот этим пакетом от тебе и сетает инвентарь сундукам лол. Тут и координаты и слот в пакете имеется, и некий объект, возможно итемстак. Под описание изидропа, этот пакет 90% подходит. Удаляешь эту хрень из того мода и ждешь реакцию дропера.
    --- Сообщения объединены: 9 окт 2016, предыдущее сообщение: 9 окт 2016 ---
    P.s я не удивлюсь, что этот дропер и есть барт.
     
    Последнее редактирование: 9 окт 2016
  15. GoodCoder

    GoodCoder Активный участник Пользователь

    Баллы:
    76
    Хех, все "заслуги" достаются барту, хотя он не программист, а всего лишь ютубер :creeper:
     
  16. Bartolomeo Rokka

    Bartolomeo Rokka Участник Пользователь

    Баллы:
    36
    Имя в Minecraft:
    Bartolomeo
    Ты лучше бы за своей репутацией следил школьник.

    Я дюпы выкладываю просто так. потому что детям это нравится. + я выкладываю все что попало в паблик и не помогаю таким низким людям как ты. этот форум давно сгнил, поэтому я перестал тут писать. начиная от того что все поголовно пытаются обмануть для своей выгоды. заканчивая даже тем , что ты зная ошибки с пакет хаками и прочим дерьмом не пишешь про них...

    Про фиксы конкурентов. Кто уж виноват что 228 школопроекты не исправляют настолько баянистые и публичные дюпы ?! Если я помогаю кому то то я очень рад за них.

    Так называемые тобой конкуренты ничего сами не могут придумать и сделать. Весь рукластер под копирку катает друг с друга идеи... Если я что то выкладываю, то не считаю что это очень поможет конкурентам,а если и поможет, это лишь показывает что я выложил то, что у конкурентов работает.

    Я довольно открыто иду на контакт когда мне пишут люди и помогаю многим проектам сейчас с поиском и исправлением ошибок.
    --- Сообщения объединены: 9 окт 2016, предыдущее сообщение: 9 окт 2016 ---
    Ты вправду считаешь что найди дюп , быстрее отснять его и " присвоить себе" это достижение ?
    Я могу передать в видео тебе привет , может тебя это успокоит ?
     
    Последнее редактирование: 9 окт 2016
  17. alexandrage

    alexandrage Старожил Пользователь

    Баллы:
    173
    Skype:
    alexandr0116
    Ну тут я с тобой полностью согласен. Все копипастеры, сайты, сборки серверов.
     
    Последнее редактирование: 9 окт 2016
  18. Bartolomeo Rokka

    Bartolomeo Rokka Участник Пользователь

    Баллы:
    36
    Имя в Minecraft:
    Bartolomeo
    я стараюсь оповещать админов об ошибках проектах , я не хожу больше по серверам чтобы " баловаться дюпать и делать раздачи " . Да была дурная слава но люди меняются.:rolleyes: .
     
  19. Adam.Baylin

    Adam.Baylin Активный участник Пользователь

    Баллы:
    61
    Имя в Minecraft:
    Aizan
    Да, люди меняются, но только на половину :) Кстати, мне интересно знают ли школьники про этот сайт?)
    --- Сообщения объединены: 10 окт 2016, предыдущее сообщение: 10 окт 2016 ---
    А вы же с Натакорном(natakorn, как-то так) Общались. Вы оба снимали видео про обходы на проекты. Что с ним стало? Первый канал в ban улетел, потом и второй.
    --- Сообщения объединены: 10 окт 2016 ---
    И, Барто детям нравятся дюпы, но все в конце концов сводится к деньгам не правда ли?
     
  20. Bartolomeo Rokka

    Bartolomeo Rokka Участник Пользователь

    Баллы:
    36
    Имя в Minecraft:
    Bartolomeo
    [​IMG]

    Забавно насколько людям интересны чужие доходы. Я же не спрашиваю насколько хороша у твоей мамки половая жизнь или возбуждают ли ее дилдо?

    Вы бы лучше по теме писали тут , а не задавали мне вопросы на которые приходится отвечать.
     
  21. Will Orion Z

    Will Orion Z Активный участник Пользователь

    Баллы:
    76
    Имя в Minecraft:
    willorion
    75$ в месяц это тааак много...
     

Поделиться этой страницей