Minecraft(我的世界)中文论坛

标题: 已确认的PlayerLogin登录插件的严重bug,请各位服主注意!!
作者: leavessoft    时间: 2014-8-2 21:07
标题: 已确认的PlayerLogin登录插件的严重bug,请各位服主注意!!
本帖最后由 leavessoft 于 2014-8-2 22:37 编辑

感谢@1277832129 提醒!
论equalsIgnoreCase的重要性
由于PlayerLogin插件的设计不周到,导致玩家可用其漏洞非法盗取OP账号。
以下是漏洞的具体利用方法:For example:
一个服务器的服主名为jail_break,熊孩子使用JAIL_BREAK账号登录服务器进行注册、登录,便直接是OP了………就这么简单!


感谢@ab8568571 提醒!
PlayerLogin插件用户名是区分大小写的,bukkit创建用户dat文件时是不区分的,结果是Abc用户和abc用户都能通过PlayerLogin的验证,但是却不能同时存在Abc.dat和abc.dat这两个用户文件,结果是这两个用户都共用一个Abc.dat文件,这样说你明白么




以下内容为旧。

我的服务器已被黑!玩家物品几乎全部丢失,地图被WorldEdit彻底破坏,OP账号全部被盗!
未安装mod,使用suteidc(速特互联)1.6.2服务端自带插件,spigot(水龙头)(1.6.2-R1.1-SNAPSHOT)(实际是R2.0)
服务端信息:

  1. 文件大小:19602951 字节
  2. 修改时间:2014年5月10日 14:28:00
  3. MD5     :1DFA1D0344374DBE28AFFC5F53B40502
  4. SHA1    :7E7CC8F20281EC27FC3AD2BE2CAEF98CC63B954E
  5. CRC32   :FC2FA106
复制代码


所有插件信息:
  1. 文件名称:EssentialsAntiBuild.jar
  2. 文件大小:13170 字节
  3. 修改时间:2013年12月1日 03:04:26
  4. MD5     :07B1B15FF03E2F83B38D7F5F4F46DC92
  5. SHA1    :92BD9028297A7AD3C43C3DDC25C5CA17FBF3C3DA
  6. CRC32   :5BC82C3D

  8. 文件名称:EssentialsChat.jar
  9. 文件大小:11284 字节
  10. 修改时间:2013年12月1日 03:04:26
  11. MD5     :215070F87A3C98D2909DF9CA652B357C
  12. SHA1    :A0A75314FD861A3DBEB32DFBCECB33ACA223A3C0
  13. CRC32   :F5F462C5

  15. 文件名称:EssentialsGroupManager.jar
  16. 文件大小:121929 字节
  17. 修改时间:2013年12月20日 14:33:16
  18. MD5     :77D1C4E7D0E48F29B64E171662316E8E
  19. SHA1    :D2D6B45576B4F4C42C3E76A731F0B0BDF985375D
  20. CRC32   :441AA3F3

  22. 文件名称:EssentialsProtect.jar
  23. 文件大小:17948 字节
  24. 修改时间:2013年12月1日 03:04:26
  25. MD5     :9C7EC1C7419A1442970E66A2010449F6
  26. SHA1    :BFD912BFBE5BEE651458CAFB61F42A4F86B0C9B5
  27. CRC32   :9FC11486

  29. 文件名称:EssentialsSpawn.jar
  30. 文件大小:14772 字节
  31. 修改时间:2013年12月1日 03:04:26
  32. MD5     :E28F005FE7E3C6C95BFCA5F4A03D62D3
  33. SHA1    :05E617DC936183161BF05B77EABBBF46A2B2C012
  34. CRC32   :3F7B6446

  36. 文件名称:IP-Check1.5.1R1.64-CN.jar
  37. 文件大小:89218 字节
  38. 修改时间:2014年7月20日 10:42:12
  39. MD5     :E6FE003BD8D25088CE87E30826FD3738
  40. SHA1    :569D4CA2F76A1F2E3CBB56E97CA695C46429A58F
  41. CRC32   :077D567E

  43. 文件名称:【创世神】WorldEdit.jar
  44. 文件大小:860497 字节
  45. 修改时间:2013年9月21日 09:41:42
  46. MD5     :92F96B0E4B97FC47CDE746FC0102CD81
  47. SHA1    :1490F3022A3E97F26C4CD95CC49E9E6EE515F930
  48. CRC32   :BF3C13C2

  50. 文件名称:【货币插件】iConomy.jar
  51. 文件大小:166222 字节
  52. 修改时间:2012年6月12日 21:20:10
  53. MD5     :5915BC7EA8DBCA679F48CF86824E2038
  54. SHA1    :8A39EC2659E93D760ACF76D5E8BE86F0898BFC16
  55. CRC32   :B891B7C5

  57. 文件名称:【快捷商店】QuickShop.jar
  58. 文件大小:133883 字节
  59. 修改时间:2014年5月24日 13:40:50
  60. MD5     :24DFD23C28C7218A15429428B4EC096C
  61. SHA1    :671C523DD733FA88FE01322172508309E0FF7FBD
  62. CRC32   :6EA85F0A

  64. 文件名称:【领地】Residence for 1.6.x.jar
  65. 文件大小:400157 字节
  66. 修改时间:2014年3月4日 20:18:58
  67. MD5     :693CC453774B3697D8421FF52C75996D
  68. SHA1    :C32F3E2AFC3BBFD1213C02EB9F24F0DBAE7ACD7F
  69. CRC32   :A2898D49

  71. 文件名称:【木牌锁箱】Lockette.jar
  72. 文件大小:57427 字节
  73. 修改时间:2013年9月21日 12:42:04
  74. MD5     :8B4CFAF081978A799F55DB670705B58D
  75. SHA1    :1F5F46FE9531B2382C88D8C0A3179106C27BE33E
  76. CRC32   :5AA7A6BA

  78. 文件名称:【木牌中文】Signs.jar
  79. 文件大小:4211 字节
  80. 修改时间:2013年10月26日 14:46:16
  81. MD5     :1C7277FAD61746AE008DDD8C236A8301
  82. SHA1    :2B7FCFDB501B6029BBE97C4A52EBC4309DD42BAB
  83. CRC32   :4C889580

  85. 文件名称:【前置插件 】Vault.jar
  86. 文件大小:289542 字节
  87. 修改时间:2013年10月24日 23:40:40
  88. MD5     :C14B1F9965D44B2A651D8BBEDEFED4D5
  89. SHA1    :3ADC4B302EC720E4E641E650F2CB595AADC450CA
  90. CRC32   :CC859377

  92. 文件名称:【注册登录】PlayerLogin.jar
  93. 文件大小:6496 字节
  94. 修改时间:2014年7月22日 19:44:04
  95. MD5     :980E59989104F53A4DCFF638B8D07B11
  96. SHA1    :0A9F7863D9140650FC31E2EE2CFABABE94C5B1D5
  97. CRC32   :8FEBC3A0

  99. 文件名称:CoreProtect_2.08-CB1.6.1-汉化-by-橙子.jar
  100. 文件大小:246269 字节
  101. 修改时间:2014年7月29日 21:34:51
  102. MD5     :DE9340FEBFC0AE3D135B45EB69F76ECF
  103. SHA1    :C689B7277D97997ABC0390776B707D81EFE52EBA
  104. CRC32   :6E05D065

  106. 文件名称:Essentials.jar
  107. 文件大小:929954 字节
  108. 修改时间:2013年12月11日 17:26:56
  109. MD5     :F9439BB1A31CAA57A7B983376E50909A
  110. SHA1    :06645E19EC044765B3ECC4ABDC8C307E85F1857F
  111. CRC32   :DCD95C00
复制代码

文件名称:EssentialsAntiBuild.jar[/code]“IP-Check1.5.1R1.64-CN.jar” 插件来自:http://www.mcbbs.net/forum.php?mod=viewthread&tid=18477
“CoreProtect_2.08-CB1.6.1-汉化-by-橙子.jar” 插件来自:http://www.mcbbs.net/forum.php?mod=viewthread&tid=72515

本服Alex_Jaeger(OP)被盗的操作记录:

  2. 2014-08-02 19:39:52 [INFO] Alex_Jaeger issued server command: /helpop 这个人是之前那个服务器的腐竹,也就是leave搞过破坏的
  3. 2014-08-02 19:39:52 [INFO] [求助OP] [管理员]Alex_Jaeger: 这个人是之前那个服务器的腐竹,也就是leave搞过破坏的Alex_Jaeger issued server command: /op Dark_Death
  4. alex_Jaeger issued server command: //set 0
复制代码

由此推断出技术团队:
  1. Dark_Death
复制代码



作者: gfyx    时间: 2014-8-2 21:10
沙发?
作者: gfyx    时间: 2014-8-2 21:11
gfyx 发表于 2014-8-2 21:10
沙发?

高端病毒
作者: 蒋苏成    时间: 2014-8-2 21:13
lz你好水喵
作者: ccxz    时间: 2014-8-2 21:14
啊好高端
不懂
支持LZ
作者: 玖夕    时间: 2014-8-2 21:15
插件还是自己做好,别人的不可靠。
作者: 金刚王八蛋    时间: 2014-8-2 21:15
这太高端 完全不懂。


还有我们腐竹也叫橙子。
作者: 蒋苏成    时间: 2014-8-2 21:17
leavessoft 发表于 2014-8-2 21:18
我水!
真希望你的服务器也被黑!!!

不是,只占沙发喵
作者: 1277832129    时间: 2014-8-2 21:17
论equalsIgnoreCase的重要性
作者: leavessoft    时间: 2014-8-2 21:18
蒋苏成 发表于 2014-8-2 21:13
lz你好水喵

我水!
真希望你的服务器也被黑!!!
作者: 蒋苏成    时间: 2014-8-2 21:19
leavessoft 发表于 2014-8-2 21:18
我水!
真希望你的服务器也被黑!!!

等等,看错人喵,素一楼那个
作者: leavessoft    时间: 2014-8-2 21:23
爱拍_KingKong 发表于 2014-8-2 21:24
不用这个插件用什么登录插件?玩家资料怎么转移?

用xAuth怎样!鄙视速特互联!
作者: 爱拍_KingKong    时间: 2014-8-2 21:24
不用这个插件用什么登录插件?玩家资料怎么转移?
作者: gfyx    时间: 2014-8-2 21:28
蒋苏成 发表于 2014-8-2 21:13
lz你好水喵

轮楼主是实习版主
作者: 小喵酱    时间: 2014-8-2 21:28
playerlogin是登陆插件还是什么
作者: 爱拍_KingKong    时间: 2014-8-2 21:30
leavessoft 发表于 2014-8-2 21:23
用xAuth怎样!鄙视速特互联!

呃···我的服务器就是速特互联···
能给我帖子地址么?xAuth
作者: huanghongxun    时间: 2014-8-2 21:51
为啥不用Authme?
作者: leavessoft    时间: 2014-8-2 21:57
huanghongxun 发表于 2014-8-2 21:51
为啥不用Authme?

卖家说“你把你装的插件删了就好(不崩服)了”...
作者: hh9130045    时间: 2014-8-2 22:11
额,这插件问题,看似好大的。。。
作者: leavessoft    时间: 2014-8-2 22:12
hh9130045 发表于 2014-8-2 22:11
额,这插件问题,看似好大的。。。

我更新帖子了,你看看
作者: hh9130045    时间: 2014-8-2 22:19
哦,我知道了有人提到过,就是把名字改大写,这个插件上次看到我就换了。。。。。
作者: ab8568571    时间: 2014-8-2 22:29
PlayerLogin插件用户名是区分大小写的,bukkit创建用户dat文件时是不区分的,结果是Abc用户和abc用户都能通过PlayerLogin的验证,但是却不能同时存在Abc.dat和abc.dat这两个用户文件,结果是这两个用户都共用一个Abc.dat文件,这样说你明白么
作者: leavessoft    时间: 2014-8-2 22:29
ab8568571 发表于 2014-8-2 22:29
PlayerLogin插件用户名是区分大小写的,bukkit创建用户dat文件时是不区分的,结果是Abc用户和abc用户都能通过 ...

知道了。。。明白!
作者: 略懂一点    时间: 2014-8-2 22:35
dark death,好像听过,哦,是黑死病
作者: 104417372    时间: 2014-8-2 22:58
真心替你担心,呜呜呜,呜呜呜,得加紧防备了
作者: GreatGBL    时间: 2014-8-2 23:46
PlayerLogin是一个登陆插件?
作者: zx121418zx    时间: 2014-8-2 23:59
对不起各位  该插件是很久以前我在论坛找到的  整合了一个服务端 当我看见它 这个插件格式的时候我就发现应该是我发的一个服务端贴  明天我会对他进行修改在这给大家说下对不起
作者: OVAmach    时间: 2014-8-3 00:05
早就知道这BUG了,我鸡贼的换成了Authme{:10_492:}
作者: 1277832129    时间: 2014-8-3 10:11
http://www.mcbbs.net/thread-313846-1-1.html
作者: 1277832129    时间: 2014-8-3 10:12
本帖最后由 1277832129 于 2014-8-3 11:17 编辑
zx121418zx 发表于 2014-8-3 00:59
对不起各位  该插件是很久以前我在论坛找到的  整合了一个服务端 当我看见它 这个插件格式的时候我就发现应 ...

{:10_492:}http://www.mcbbs.net/thread-313846-1-1.html
这插件的修复版本
不过建议还是早点换个登陆插件··· authme挺好的 我喜欢··
作者: zx121418zx    时间: 2014-8-3 11:17
1277832129 发表于 2014-8-3 10:12
http://www.mcbbs.net/thread-313846-1-1.html
这插件的修复版本
不过建议还是早点换个登陆插件 ...

今天已经改了服务端了
作者: a20001017    时间: 2014-8-3 11:19
论在if后面总是加/i的繁华
作者: 635419450    时间: 2014-8-3 11:23
皆大欢喜
作者: chof    时间: 2014-8-3 12:08
楼主请节哀{:10_493:}
作者: a5766193    时间: 2014-8-3 14:11
leavessoft 发表于 2014-8-2 21:18
我水!
真希望你的服务器也被黑!!!

确实,这个bug好几个月前就知道了但是不会举报哈哈哈
作者: mcbbs2050    时间: 2014-8-6 12:13
这个authme插件也存在这个bug
配置文件中貌似有禁用大写,禁用一下就行了
不过熊孩子还是有盗号的方法,
我们服务器有熊孩子只要知道别人账号,就能登
登进去之后捣乱,甚是恶心。
作者: lisongnan7    时间: 2014-8-10 14:55
插件的确不错 有漏洞也是难免的 望修复
作者: きのこMogu_    时间: 2014-8-10 15:07
一些插件主忽略大小写后产生。
作者: a731767992    时间: 2014-8-10 15:27
可以解决吗我的服里就是用这个插件来登录的
作者: 冒险岛孙雷    时间: 2014-8-10 15:34
额   不要回复我  我只是来水一帖。。。。论坛所有图片都看不到   肿么办啊
作者: think君    时间: 2014-8-10 16:09
早知道了= =
作者: leavessoft    时间: 2014-8-10 16:13
think君 发表于 2014-8-10 16:09
早知道了= =

你知道你怎么不说
作者: think君    时间: 2014-8-10 16:27
leavessoft 发表于 2014-8-10 16:13
你知道你怎么不说

有人说过了= =
作者: 小蛋蛋QAQ    时间: 2014-8-11 20:29
别逗比了- -有些没用,我试过了,没用啊
作者: leavessoft    时间: 2014-8-11 20:30
小蛋蛋QAQ 发表于 2014-8-11 20:29
别逗比了- -有些没用,我试过了,没用啊

呵呵
没用?特别好用!!!
作者: mcchenxi    时间: 2014-8-11 20:32
现在的服务器大多数是CazryLogin,行不通的
作者: mcchenxi    时间: 2014-8-11 20:32
现在的服务器大多数是CazryLogin,行不通的
作者: leavessoft    时间: 2014-8-11 20:34
mcchenxi 发表于 2014-8-11 20:32
现在的服务器大多数是CazryLogin,行不通的

我是举报bug,又不是让你去执行。。。
作者: 2441490300    时间: 2014-8-12 08:41
雾草 好可怕的BUG!
作者: huangyong123    时间: 2014-8-12 08:41
的确   我的服也被黑了   真的不是水     的确有bug
作者: mcchenxi    时间: 2014-8-12 08:43
leavessoft 发表于 2014-8-11 20:34
我是举报bug,又不是让你去执行。。。

好吧,当我没说
作者: mcchenxi    时间: 2014-8-12 08:43
leavessoft 发表于 2014-8-11 20:34
我是举报bug,又不是让你去执行。。。

好吧,当我没说
作者: qnmdhhh    时间: 2014-8-12 09:04
真是高端啊,看不懂
作者: Naruko    时间: 2014-8-12 17:44
我记得论坛有个修复版的
作者: ztq    时间: 2014-8-13 01:59
还是搞不懂这个漏洞的说
作者: cheng000    时间: 2014-8-14 12:27
早就知道了......
作者: liufeng    时间: 2014-8-15 14:22
腐竹,我有方法可以帮你恢复主城,考虑你有core(查询插件),我可以帮你回档,我是第五大陆服务器的技术员,希望你可以把登陆插件换一换,这个插件的问题,我们之前已经发现过,已经及时换了登陆插件,如果需要我帮忙你可以加我的QQ:869820288
作者: Qin_yu    时间: 2014-8-15 15:26
不早说 我已被坑
作者: 1779745093    时间: 2014-8-15 15:38
提示: 作者被禁止或删除 内容自动屏蔽
作者: leavessoft    时间: 2014-8-15 16:11
liufeng 发表于 2014-8-15 14:22
腐竹,我有方法可以帮你恢复主城,考虑你有core(查询插件),我可以帮你回档,我是第五大陆服务器的技术员 ...

已经解决了,谢谢
作者: 鳥妖    时间: 2014-8-15 16:28
为卤煮的服务器默哀,,,
作者: sjj118    时间: 2014-8-20 12:26
我发现我自己编的登陆插件也有这个问题,结果就有个熊孩子来上我号。。
作者: 无敌老戴    时间: 2014-8-20 13:40
谢谢lz。我快去试试
作者: s994154391    时间: 2014-8-20 15:02
看得我菊花一紧  QAQ
作者: XS2A    时间: 2014-8-20 16:08
谢谢楼主开示(原来可以这样...)黑服去......(坏笑)
作者: tianwufeng    时间: 2014-8-20 16:12
还是经常吧备份一下地图吧!!
作者: 小蛋蛋QAQ    时间: 2014-8-28 14:05
leavessoft 发表于 2014-8-11 20:30
呵呵
没用?特别好用!!!

真的吗- -好屌~那你想熊服哈