Minecraft(我的世界)中文论坛
标题: 严重警告!MCBBS再次出现后门原创插件
作者: GreatGBL 时间: 2014-6-11 13:26
标题: 严重警告!MCBBS再次出现后门原创插件
本帖最后由 GreatGBL 于 2014-6-11 13:44 编辑
GuildRevolution V.0.0.1——让我们拥有一个公会吧![1.6.4-R2.0] 
后门插件:http://www.mcbbs.net/forum.php?m ... %AC%E4%BC%9A&page=5
GuildRevolution相同的举报贴:http://www.mcbbs.net/forum.php?mod=viewthread&tid=282818
装了这个插件的腐竹,请马上删掉!!!!!!
不仅仅只是非法获得OP那么简单,不法分子可以把你的服务器全部格式化!!!!让你的心血付之东流!!!!!!!
严重警告!!请立即删除此插件!!请MCBBS版主重视此事!
原创插件的安全性在哪里?
我朋友的服务器 伏***
最近装了这个插件,当年晚上一个叫 ColdFlow 的玩家
可以任意使用give指令,eco give刷钱指令
给自己活得大量非法物品
如图
之后朋友删除了这个插件, ColdFlow玩家无法作弊,无奈离开了服务器
著名触手connection_lost反编译此插件,以下是内容
GuildRevolution插件鉴定
据说GuildRevolution插件可以给玩家op?
可以监听玩家指令的方法,并且不留痕迹肯定不能用
onCommand,而应当使用PlayerCommandPreprocessEvent
代替。在gm.ColdFlow.Guild.Listener.PlayerSub.class
文件中找到了PlayerCommandPreprocessEvent
的Listener。
Listener
指向了API.class,于是到
API.class找到指定的initializesub。
这里的代码混淆的比较严重,但是还算好,在下面我已经找到了setOp()指令,打算从这里入手。
仔细看可以看到paramPlayerCommandPreprocessEvent.getMessage().startsWith(str1) 和内部另一个arrayOfString[1].equalsIgnoreCase(str2) 为触发这个指令的大前提,于是可以想找到arrayOfString 和 strn
的源头,在这个function的顶端发现:
所有的这些字符串都是通过FileAPI.class的getChars()运算所获得的,也就是这里面的密码并不是明文储存,而是在一定程度上即时运算了一遍。于是从FileAPI.class中的getChars()反编译获得核心解密指令。
写一个小程序验证猜想:
输出值是 /4690*******
上面输出的字符串是str1的解密后结果,同理,str2、3、4、5分别为op、deop、pathremove、writeFile。
游戏中加载本插件,使用指令/4690******* op ColdFlow,此时该玩家已经成为op。
deop指令同理。
pathremove指令未测试,没有虚拟机的情况下运行看起来非常危险。
-
1.jpg
(28.09 KB, 下载次数: 42)
-
2.jpg
(18.67 KB, 下载次数: 33)
-
3.jpg
(41.16 KB, 下载次数: 34)
-
4.jpg
(103.37 KB, 下载次数: 31)
-
a.png
(6.65 KB, 下载次数: 32)
-
b.png
(81.56 KB, 下载次数: 34)
-
c.png
(33.69 KB, 下载次数: 36)
-
d.png
(32.65 KB, 下载次数: 36)
-
e.png
(7.91 KB, 下载次数: 32)
-
f.png
(22.64 KB, 下载次数: 32)
作者: connection_lost 时间: 2014-6-11 13:27
没错,你没有看错。
这次技术支持就是我。
作者: NightSkyAir 时间: 2014-6-11 13:30
我靠,,竟有这种事,我当初还想装这插件来着
作者: eyz1993 时间: 2014-6-11 13:32
下次非开源插件不敢装了。。
作者: zx8673 时间: 2014-6-11 13:34
顶顶顶 ~~~~~
作者: 麦心脏 时间: 2014-6-11 13:35
不明觉厉、
作者: 250=mo 时间: 2014-6-11 13:38
多好的插件啊……居然留有这么一手
作者: 627241778 时间: 2014-6-11 13:41
我也是在伏***服务器的腐竹朋友的 举报下,对插件进行的反编译,发现其中的提权和文件创建命令.
并让在举报版的楼主进行发帖.感谢第三大道的服主对插件提权进行测试
作者: GreatGBL 时间: 2014-6-11 13:43
技术员是2L,感谢他吧
作者: 太郎酱 时间: 2014-6-11 13:44
幸亏我不爱公会,但是为甚有这样的插件作者呢,唉。痛心啊~~~开服多么不容易的事儿
作者: 627241778 时间: 2014-6-11 13:44
恩. 插件应该使用了正则的写法,,,,我无可奈何
作者: 627241778 时间: 2014-6-11 13:46
回来回报社会就是一个好技术!
作者: 暗影、巅峰 时间: 2014-6-11 13:51
我擦好口怕。。还好我暂时没开服→_→
作者: 银狼 时间: 2014-6-11 13:51
有些代码还是不怎么看得懂
作者: 627241778 时间: 2014-6-11 13:52
研究过JAVA的就基本可以看懂
作者: 梦噬 时间: 2014-6-11 13:54
九点半左右zx8673就已经开始研究这个插件源码了,被你抢先了
作者: GreatGBL 时间: 2014-6-11 13:59
看结论就好了
作者: GreatGBL 时间: 2014-6-11 14:01
这插件还是很危险啊。。
作者: beebill 时间: 2014-6-11 14:02
..... 通知插件版版主..
作者: 627241778 时间: 2014-6-11 14:02
下载量是100多 扼杀的早》。。。
作者: 咸鱼气功王 时间: 2014-6-11 14:12
哎,有些人有点技术就想心思,环境也就这样脏污了
作者: 黄凯航 时间: 2014-6-11 14:21
等等,Revcraft的服主?
作者: 黄凯航 时间: 2014-6-11 14:23
去年论坛也有发生类似的事情
作者: Qfang23 时间: 2014-6-11 14:38
图片是不是小了点……
作者: GreatGBL 时间: 2014-6-11 18:11
恩。。。。。。。。。。。。。。。。。。
作者: connection_lost 时间: 2014-6-12 09:16
我来啦
作者: Csgbshgf 时间: 2014-6-12 18:05
这...我只会onCommand()
作者: yr6965801 时间: 2014-6-12 20:06
真心谢谢,原本我是准备下载的
作者: 1149354101 时间: 2014-6-12 21:18
给自己活得大量非法物品 楼主你打错字了
作者: 123axsxs 时间: 2014-6-12 21:22
下次有啥逗比插件后面让我试试,我也练手咯
作者: 我是冷场帝 时间: 2014-6-13 00:45
这插件。。。熊孩子看到了会哭的
作者: 黄凯航 时间: 2014-6-13 02:23
好久不见
作者: MrWeng1 时间: 2014-6-13 03:23
我靠,,竟有这种事,我当初还想装这插件来着
作者: li62886288 时间: 2014-6-13 10:30
从来不用国产插件;就算开源也不用{:10_492:}
国内的插件作者喜欢挖一堆大坑;最后更新不完就真坑了{:10_517:}
作者: coldflow 时间: 2014-6-13 12:00
表示内个不是我- -
作者: GreatGBL 时间: 2014-6-13 12:05
。。。。。。。。。。。。。。。。。卧槽
作者: asdfg25855 时间: 2014-6-13 12:21
可耻的后门党~
作者: 1016470686 时间: 2014-6-13 12:30
封了号大快人心233
作者: 。—。 时间: 2014-6-13 14:13
一楼里当年晚上是啥鬼...
作者: 1394507286 时间: 2014-6-13 16:57
黑客也学过java……有点羡慕
作者: 6659899 时间: 2014-6-13 21:45
对,就是这个
我记得就是这个插件害了我玩的服务器【虽然已经修复,但我是服务器管理】
记得那天腐竹被ban
全部玩家都是op
一会服务器就崩了
然后腐竹就修复了。。。。。。。
作者: 紅月阿 时间: 2014-6-14 21:21
哇。。。好恐怖。。。我很少从 mcbbs 弄插件 都是去 bukkit 官方的
作者: 练习册 时间: 2014-6-15 07:00
丧心病狂!!!!
作者: 646683078 时间: 2014-6-15 10:49
感觉像OpenSSL的那个心脏出血
作者: d.xin 时间: 2014-6-20 21:25
唉。多好的插件,本来还想安装的,结果就看到这信息。痛心啊
作者: 844565468 时间: 2014-6-20 23:51
麻痹,上次东西服务器文件就被全删了,还以为内部人员出现了问题
作者: 此人已死 时间: 2014-7-14 17:26
简直可怕
作者: 白安西 时间: 2014-7-14 17:27
【捂脸】太可怕了QAQ
作者: 857888053 时间: 2014-7-14 18:58
嗯嗯嗯嗯嗯嗯嗯嗯嗯嗯
作者: 857888053 时间: 2014-7-14 18:59
嗯嗯嗯嗯嗯嗯嗯嗯嗯嗯
作者: 山大王 时间: 2014-7-15 00:16
基本看不明白。。。。
作者: shaoyeshaoye 时间: 2014-7-20 06:02
他写的那么麻烦还不如直接一条提权看来的简单
作者: 山大王 时间: 2014-7-21 05:25
{:10_492:}晃一晃,看了看!
作者: 困罪丶 时间: 2014-8-19 21:13
我能说这是神贴嘛?好吧,能!
作者: lhnnhl 时间: 2014-10-21 20:20
我看到那个名字的时候,我还以为是外国的大触,技术遍地是 可是我依旧不会遍插件〒_〒
作者: martinsmith 时间: 2014-11-5 19:56
自己的MOD自己写,可以避免病毒还有木马后门。。。
作者: 2575174857 时间: 2014-11-13 21:09
{:10_494:}啊啊啊,版主你说的难道是伏魔战记??很好玩的一个服务器······剧情任务副本武器都做的非常认真,我退过一次服,现在不知道怎么样了唉,主城还有背景音乐呢!
作者: sfh3061895 时间: 2015-1-28 14:39
和infiniteDispenser有得一拼
当年它被bukkit官方联合封杀了
作者: 麦块小Z 时间: 2015-1-29 06:55
卧槽,我得看看我的服务器有没有这个插件
作者: huangshize 时间: 2015-2-3 10:54
提示: 作者被禁止或删除 内容自动屏蔽
作者: 1026911769 时间: 2015-2-3 14:23
http://www.mcbbs.net/
作者: 147125403 时间: 2015-2-3 15:49
额 这插件。。。。
作者: zouchanglin 时间: 2015-2-4 00:48
竟然有这种事情!感谢LZ提醒! 话说LZ写了那么多,人气加的没有沙发的一句话多呢。。
作者: 805781737 时间: 2015-2-5 10:40
可恶可恶啊 顶
作者: Q我 时间: 2015-7-16 20:52
居然留有这么一手,不会自己开服吗,为什么zg这么多熊呢
作者: zsc5888 时间: 2015-7-17 08:20
这些原创插件还能用么。。。
作者: langyo 时间: 2015-7-19 22:42
我天吓死我了
居然还带给所有权限、写木马程序先过滤一边运算数据的= =
不过做的实在是太不高明了,取一下其中的转换子程序再整理、去除无用指令就可以知道这是要干什么了。
公会插件貌似已经有其他人开发了啊?……
ColdCow是哪位高人= =??!!
作者: 1574995279 时间: 2015-7-21 13:01
提示: 作者被禁止或删除 内容自动屏蔽
作者: 1574995279 时间: 2015-7-21 13:02
提示: 作者被禁止或删除 内容自动屏蔽
作者: 叫我赖天王 时间: 2015-7-21 18:24
好恐怖……
作者: DEML_Meng 时间: 2015-7-24 15:11
幸亏我没有用这个插件,当时想用来着,感谢楼楼!
作者: 14245629 时间: 2015-7-24 17:09
高级的东西{:10_523:}
作者: chenxiutao030 时间: 2015-7-24 17:27
插件的作者心机真重
作者: Leme 时间: 2015-8-28 20:41
吓得我赶紧看了看服里有没有这个插件..
作者: 反正不是你 时间: 2015-8-29 11:25
你果然认识gbl...
作者: Тιмγα姬 时间: 2015-8-29 11:32
啧啧,这个罪犯也是人才啊
作者: nikoniko_ni 时间: 2015-8-29 12:44
真恐怖,以后插件板开源审核吧
作者: 辉耀 时间: 2015-8-29 15:38
太可怕了额。。。。
作者: brave_heart 时间: 2015-8-30 10:55
提示: 作者被禁止或删除 内容自动屏蔽
作者: 啊3943366969 时间: 2015-8-30 18:55
谢谢楼主提醒!
作者: LIUIF 时间: 2015-9-1 13:22
好恐怖..
作者: liach 时间: 2015-9-1 16:08
反编译不是只要enigma就解决了,找个美国服主做毛
作者: fxxkcents 时间: 2015-9-1 21:20
想找个好的公会插件真难啊
