Дырочка в модах с использованием ObjectInputStream

[tox1cozZ]

Должен работать, там обычный SimpleNetworkWrapper, мб ты чето путаешь
Может ты чёто с миксинами намудрил и у тебя не подгрузились, хз

 

[TheAndrey]

Кстати фикс не рабочий

Подтверждаю. У меня, например, пакеты Thaumcraft inventory scan блокирует...

 

[tox1cozZ]

Странно, поглядим

 

[Angelok]

А у нас (наш мод) ничего не блокирует хехе, так что видимо зря хейтили, сами то не лучше сделали (

 

[tox1cozZ]

Иди свое говно дальше продавай, может даниорио скинет сто рублей на пожрать, жадный дурачок
Было сделано на коленке за час и сразу выложено, тебя не смущает? Причем бесплатно, у меня не было времени это тестировать неделю

 

[daniorio]

Да мы тоже не тестировали неделю, сделали за час на коленке на асм, а не на миксинах, которые не понятно зачем вообще тянуть, поставили на первый попавшийся сервер, работало без проблем. А еще чего это наш глубокоуважаемый модератор начал оскорблениями кидаться? Аргументы закончились? Я конечно понимаю, что комьюнити румайна оставляет желать лучшего, но у тебя то все таки не последняя роль здесь, мог бы хотя бы без оскорблений обойтись. Заметь, я не разу не скатился до уровня оскоблений за весь диалог, что не сказать про половину тут собравшихся.

 

[will0376]

А еще чего это наш глубокоуважаемый модератор начал оскорблениями кидаться?

Да потому-что вы ведете себя как ЖАДНЫЕ уёбки. Затрахали уже.
На вас не просто так взъелись. Молчал бы ангелок - было бы всё намного лучше... Так что купи ему кляп и одень. И себе тоже

 

[TheAndrey]

А у нас (наш мод) ничего не блокирует хехе

Настоящий школьник, знающий толк в продажах, так ничего не заработавший.

Дарёному коню в зубы не смотрят. Закрывает дырку и ладно, фиксы уже потом.

 

[tox1cozZ]

Подтверждаю. У меня, например, пакеты Thaumcraft inventory scan блокирует...

Залил коммит, должно работать

 

[Tenebrius]

Я сначала думал, что тут активно пропагандируют покупку фикса, но ближе к концу темы видно неадекватность "коммерческих" индивидов. Постеснялись бы, может своей токсичностью потенциальных покупателей спугнете))

 

[TheAndrey]

Фиксы оказались даже проще чем я думал. ~15 мин. работы над модом.
Делюсь с сообществом: EnderCore & Gadomancy.

 

[will0376]

Фиксы оказались даже проще чем я думал.

Глянул. пойдёт как один из вариантов.
Я в качестве хотфикса писал доп. проверку на эффективную сторону (по стактрейсу которая) в frombytes.

 

[will0376]

что за взлом?

Глаза разуй и прочитай внимательно.

 

[will0376]

Я имел ввиду что я первый раз слышу про этот взлом гравитлаунчера...

А причем тут эта помойка вообще?

 

[IKR]

:facenapalm: я подумал что "гравити" = Gravitlauncher

 

[JustAGod]

Если я правильно вот щас прочитал спеку сериализации там выходит что OIS не может определить новый класс и мы в "запускании произвольного кода" ограничены теми классами, которые наследуют Serializable, и исполнить мы можем только их дефолтные конструкторы. Если же у типа нет дефолтного конструктора или переопределенного readObject мы и вовсе ничего исполнить не можем.
Таким образом, как я понимаю, мы ограничены классами, которые есть на стороне сервера. И чтобы навредить нашему серверу нужно как то неплохо знать код, который там исполняется и удачно его совместить и чтоб там такое вообще было(потому что лямбды вот умеют в Serializable только если спецом прописать это в создании лямбды). И вот на этом этапе было б интересно знать как это вообще происходит, что челы умудряются запустить целый жарник. Если есть пейлоад в бинарном виде, мне было б очень интересно на него посмотреть честно говоря.
Но конечно полный согл, что юзать OIS в чтении нетворка это полная анти база, разве что вы не захотите подписывать свои пакеты.

 

[JustAGod]

Ой ну еще я не доволен препиской "сделали фикс". Как то, либо я чота не понимаю, либо ресурс вводит в заблуждение. Фикс должен быть по типу

if (OIS doing wrong things) {
    stop it please()
}

Ну или подписывание пакетов опять же точно решило бы проблему. А так получается, что тема про страшную уязвимость OIS, а фикс конкретно для этих двух модов.

 

[will0376]

а фикс конкретно для этих двух модов.

Ну, фиксом является дополнительная проверка стороны выполнения кода десериализации пакета.(со стороны @tox1cozZ )
и имхо - это наилучший вариант, ибо на корню прибивает схожие уязвимости с принудительной отправкой !клиентского! пакета на !сервер!

 

[will0376]

Если есть пейлоад в бинарном виде, мне было б очень интересно на него посмотреть честно говоря.

Он есть. но пока что предоставить я его не могу.
И раз есть фиксы - могу поделиться наблюдением: в пейлоаде(бинарном, есс-но) замешана scala, какие-то импорты функций, которые я не понимаю, увы.

 

[JustAGod]

Ну, фиксом является дополнительная проверка стороны выполнения кода десериализации пакета.(со стороны @tox1cozZ )
и имхо - это наилучший вариант, ибо на корню прибивает схожие уязвимости с принудительной отправкой !клиентского! пакета на !сервер!

Она, конечно, не дает отправить клиентский пакет на сервер, но никто не запрещает отправить серверный пакет на сервер и прочитать его там с помощью OIS.