Помогаем соколику латать Alfheim

Icosider · 29 Май 2020

Держу в курсе, там таких бэкдоров туча и я не про хеши. Уже давно отказались от обновления его мода на своём проекте, так как автор наглеть начал. Я ещё понимаю заменить модельку своего перса, но давать преимущества себе как опкой, так и через урон некоторых вещей, это уже перебор...

Upd:
Бан давать не стоит, пусть автор выпиливает это говно нафиг, а для себя пусть dev версию держит или отдельную делает. А на счёт курса, без доказательств хрен забанят проект, хоть тонну жалоб накидайте.

Сливы уязвимостей:
Отправив данный пакет можно выдать себе любой итем, автор забил Х на какие-либо проверки... (ТЫК <- конкретно где проблема)
MessageRaceSelection <- позволяет изменять тайл в привате, а также подставлять свои данные + можно положить сервер

MessageKeyBindS <- под подозрением этот пакет, тоже творит дичь))

Тут эти пакеты обрабатываются - ТЫК

KeyBindingHandler#secret <- да, та самая уязвимость)))
EventHandler#onInteract <- кхе, садимся на кого хотим))

AlexSoсol · 29 Май 2020

Ivasik написал(а):
Сливы уязвимостей:

А вот за это спасибо. Хотя лучше бы на битбакит, или даже в лс, он ладно. Сейчас пофикшу и вечером выпущу обнову

Icosider · 29 Май 2020

Это лишь то, что я нашёл быстренько пробежавшись по репе. Может быть есть ещё проблемы, у тебя нет случаем дебаг итемов, как в драконики? Если есть, то тоже фикси.

AlexSoсol · 29 Май 2020

Ivasik написал(а):
Отправив данный пакет можно выдать себе любой итем, автор забил Х на какие-либо проверки... (ТЫК <- конкретно где проблема)

Интересно, особенно учитывая, что оно даже в проекте не используется. Старое имя было MessagePlayerItem, и на него битбакит историю выдать не может, чтобы я хоть понял, зачем я такой пакет сделал, мдам... Удалил.

Ivasik написал(а):
MessageRaceSelection <- позволяет изменять тайл в привате, а также подставлять свои данные

Этот только для блока выбора расы, который стоит в центре мира.

Ivasik написал(а):
можно положить сервер

А именно?

Ivasik написал(а):
MessageKeyBindS <- под подозрением этот пакет, тоже творит дичь))

Мм, по идее нет. fun secret я уже удалил. Если есть ещё что-то, укажи, ес не влом

Ivasik написал(а):
у тебя нет случаем дебаг итемов

Есть, но получить без креатива нельзя и выпиливается из сборок(если я не забываю) для курса флагом дебаг=фолс
Добавил доп проверку, что если среда обфусцирована, то даже с дебаг модом работать не будет

Icosider · 29 Май 2020

AlexSocol написал(а):
А именно?

А не, там другой метод, нельзя положить, хотя в теории можно попробовать

Icosider · 29 Май 2020

AlexSocol написал(а):
Есть, но получить без креатива нельзя и выпиливается из сборок(если я не забываю) для курса флагом дебаг=фолс

Хорошо, но лучше в продакшене не использовать, ибо легко можно вызвать кое-какой пакетик из ванилы и делать с подобным итемом, что хочешь))

AlexSoсol · 29 Май 2020

Ivasik написал(а):
Может быть есть ещё проблемы

Ну @Зарак в дс упомянул, что у меня нашли пакетхак, которым можно кого угодно через всю карту ушатать, но какой именно пакет не сказал.
По идее, это кебиндинг fun atack, так что его тоже поправил

Plasticable · 29 Май 2020

Ivasik написал(а):
нельзя положить

Почему это?

world.getTileEntity(message.x, message.y, message.z)
Спамишь пакетами с рандомными X и Z, серв пытается грузить кучу чанков и падает как Стас Барецкий с лестницы, со всеми вытекающими.

Icosider · 29 Май 2020

AlexSocol написал(а):
Этот только для блока выбора расы, который стоит в центре мира.

Этот блок может любой игрок изменять? Его могут забрать?

Icosider · 29 Май 2020

Plasticable написал(а):
Спамишь пакетами с рандомными X и Z

Ну можешь конечно попробовать, но в теории да положить можно

AlexSoсol · 29 Май 2020

Ivasik написал(а):
хотя в теории можно попробовать

Ес будет время, проверь, буду признателен

Ivasik написал(а):
пакетик из ванилы и делать с подобным итемом, что хочешь))

по идее без дебаг режима он даже не регается в игре, так что вроде всё норм. Но доп проверку всё равно дописал

Ivasik написал(а):
Этот блок может любой игрок изменять? Его могут забрать?

Он стоит на спавне и служит для выбора расы. Неломаемый.

Plasticable написал(а):
Спамишь пакетами с рандомными X и Z, серв пытается грузить кучу чанков

Есть идеи как обезопасить?

Icosider · 29 Май 2020

AlexSocol написал(а):
Ес будет время, проверь, буду признателен

А чего сам не можешь?)) Я на альфхе8 сижу, у меня подобных проблем нет))

Icosider · 29 Май 2020

AlexSocol написал(а):
Есть идеи как обезопасить?

Не получать тайл по координатам....

Icosider · 29 Май 2020

Чтоб ты понимал как фиксить. Твой контейнер должен содержать тайл, и этот тайл ты должен получать в пакете, тогда избавляешься от поиска тайла по координатам

Kotlin:

class GovnoContainer(val tile: TileEntity) : Container() <- в контейнере

// В обработке пакета
fun messageHandle(player: EntityPlayerMP) {
    val container = player.openContainer as? GovnoContainer ?: return
    val myTile = container.tile
    // Делаешь чо хочешь
}

Plasticable · 29 Май 2020

Ivasik написал(а):
Есть идеи как обезопасить?

Ivasik написал(а):
Не получать тайл по координатам....

Либо, если не хочешь всё сильно переписывать, проверяй дистанцию от тайла до игрока. Думаю, этого хватит, чтобы сервер не роняли таким способом.

Icosider · 29 Май 2020

Костыль...

RonFall · 29 Май 2020

Только не пишите мод за него, пожалуйста

Icosider · 29 Май 2020

Не будем

Но почему бы не помочь, он ж не Максик, который забивает на проблемы в моде)))

Plasticable · 29 Май 2020

Ivasik написал(а):
Костыль...

Да, способ с контейнерами "правильнее", но мой не требует изменений в архитектуре мода и решает указанную проблему.

MJaroslav · 29 Май 2020

Судя по некоторым голосующим, Саня, зря ты постоянно токсил в своем чате

Помогаем соколику латать Alfheim

Icosider

Kotliner

AlexSoсol

Icosider

Kotliner

AlexSoсol

Icosider

Kotliner

Icosider

Kotliner

AlexSoсol

Plasticable

Icosider

Kotliner

Icosider

Kotliner

AlexSoсol

Icosider

Kotliner

Icosider

Kotliner

Icosider

Kotliner

Plasticable

Icosider

Kotliner

RonFall

Icosider

Kotliner

Plasticable

MJaroslav