Minecraft(我的世界)中文论坛
标题: 【严重问题】关于CO I查询插件直接获得创造模式的后门
作者: pengfen002 时间: 2014-8-21 10:56
标题: 【严重问题】关于CO I查询插件直接获得创造模式的后门
我不清楚是漏洞还是后门,玩家可以利用COI插件获取创造权限
今天服务器里面来了两个熊孩子,具体命令如下- Line 555546: 2014-08-21 07:38:06 [INFO] ZF_LG issued server command: /co l Myhone
- Line 555550: 2014-08-21 07:38:13 [INFO] ZF_LG issued server command: /Myhone 5
- Line 555552: 2014-08-21 07:38:21 [INFO] ZF_LG issued server command: /co l Myhone 5
- Line 555558: 2014-08-21 07:38:42 [INFO] [�[0;37;1m失落大陆�[0;37;1m]�[m<�[0;36;22mZF_LG�[m> 不能�[m
- Line 557699: 2014-08-21 07:39:40 [INFO] [�[0;37;1m失落大陆�[0;37;1m]�[m<�[0;36;22mZF_LG�[m> - -�[m
- Line 557703: 2014-08-21 07:39:51 [INFO] [�[0;37;1m失落大陆�[0;37;1m]�[m<�[0;36;22mZF_LG�[m> 作死�[m
- Line 557709: 2014-08-21 07:40:16 [INFO] [�[0;37;1m失落大陆�[0;37;1m]�[m<�[0;36;22mZF_LG�[m> - -�[m
- Line 557712: 2014-08-21 07:40:43 [INFO] ZF_LG issued server command: /co l u:Myhone a:command t:5d
- Line 557717: 2014-08-21 07:40:55 [INFO] ZF_LG issued server command: /co l 2
- Line 557719: 2014-08-21 07:40:58 [INFO] ZF_LG issued server command: /co l 3
- Line 557721: 2014-08-21 07:41:03 [INFO] ZF_LG issued server command: /co l 446
- Line 557726: 2014-08-21 07:41:16 [INFO] ZF_LG issued server command: /co l 445
- Line 557728: 2014-08-21 07:41:29 [INFO] ZF_LG issued server command: /co l u:Myhone a:command t:50d
- Line 557731: 2014-08-21 07:41:35 [INFO] ZF_LG issued server command: /co l 1
- Line 557733: 2014-08-21 07:41:43 [INFO] ZF_LG issued server command: /co l 599
- Line 557741: 2014-08-21 07:42:01 [INFO] ZF_LG issued server command: /co l 558
- Line 557745: 2014-08-21 07:42:20 [INFO] ZF_LG issued server command: /co l 557
- Line 557747: 2014-08-21 07:42:27 [INFO] ZF_LG issued server command: /co l 1
- Line 557750: 2014-08-21 07:42:31 [INFO] ZF_LG issued server command: /co l 2
- Line 558132: 2014-08-21 07:45:16 [INFO] ZF_LG issued server command: /fly
- Line 558133: 2014-08-21 07:45:16 [INFO] §cZF_LG §4被拒绝使用命令
- Line 558136: 2014-08-21 07:45:20 [INFO] ZF_LG issued server command: /dick
- Line 558137: 2014-08-21 07:45:22 [INFO] ZF_LG issued server command: /nick
- Line 558140: 2014-08-21 07:45:26 [INFO] ZF_LG issued server command: /nice
- Line 558143: 2014-08-21 07:45:33 [INFO] ZF_LG issued server command: /v
- Line 558144: 2014-08-21 07:45:33 [INFO] §cZF_LG §4被拒绝使用命令
- Line 558296: 2014-08-21 07:46:42 [INFO] Myhone issued server command: /gm 1 ZF_LG
上面是所有有关于这个玩家的命令
从命令上看起来
这个叫做ZF_LG的玩家可以利用COI的权限
【我的服务器只给玩家COI查询命令这个权限】
具体漏洞方法我并不知情
Myhone是服务器OP账号
目前只需要获得服务器OP的账号名字,就直接可以利用coi插件的后门直接从后台调用管理员账号
后台输入指定的命令
这个熊孩子利用漏洞刷出了大量的违禁物品,因为服务器是格雷服
他刷出了大量的反物质机器跟IC的机器
还可以直接获取rpgitem里面的物品,我的服务器已经受到了不同程度的破坏
请各大腐竹注意,BUG没有修复之前,千万不要给玩家COI权限,我服务器内COI插件已删除
作者: 堕星辰 时间: 2014-8-21 10:59
本帖最后由 堕星辰 于 2014-8-21 11:00 编辑
co i插件可以查询玩家使用过的指令的呀,他查了op记录就拿到了op的号,不是插件BUG是权限问题
作者: pengfen002 时间: 2014-8-21 11:03
我还是第一次听到过这个说法,还好发现得早没出什么大问题
这个摆明了是COI插件作者的BUG 或者直接是一个故意的后门
co i 查询OP命令就能直接获得OP权限?
作者: きのこMogu_ 时间: 2014-8-21 11:07
那个人 查询了op聊天栏记录,每个人要登陆都要输入/login xxxxxx的,他获得了op的密码
作者: 堕星辰 时间: 2014-8-21 11:07
不是是co l a:commond 查询指令记录,这不是后门,就是你们权限没弄好,要是这都算BUG和后门的话,那所有插件都是了,像RPG你们要不是默认权限只有op可以,普通玩家也可以直接用那也叫后门?好好看看权限吧
作者: 堕星辰 时间: 2014-8-21 11:08
然后他查询的是op的指令,op上线也要登陆的吧,那么就会有/login xxxx的指令记录,查询了之后别人就知道op的密码,然后你懂→_
作者: pengfen002 时间: 2014-8-21 11:10
不是吧?那么如何给玩家 coi查询权限? 只要col查询方块就行了,其他权限不给
作者: 堕星辰 时间: 2014-8-21 11:10
只给co i ,co l可以不给的,
作者: 616315246 时间: 2014-8-21 11:12
他是查询了op的密码!/co l u:Myhone a:command t:50d !这个就是查询你op使用过的命令!
作者: pengfen002 时间: 2014-8-21 11:23
有命令么?谢谢~
作者: pengfen002 时间: 2014-8-21 11:25
可能是我太心急了,抱歉~ 以为这是后门了
作者: SkyCatcher 时间: 2014-8-21 11:29
- # 记录所有玩家使用的命令.
- player-commands: false
coreprotect下的config里面这一项改为false,然后把之前的.db数据库删掉即可。以后就不会记录命令了。
另一种方法就是不要给普通玩家co l 的权限,只给coreprotect.inspect也能避免这个问题,但是能用co l 的人就知道别人的密码了
作者: pengfen002 时间: 2014-8-21 11:44
好人一生平安
作者: pengfen002 时间: 2014-8-21 12:01
好了,已经搞清楚了
如果只给玩家co i 权限,那么就只能开启coi
只能查询第一页权限,无法查询第二页
但是如果给了co l 权限,服务器就会悲剧,只能在配置里面修改
只记录方块
作者: SkyCatcher 时间: 2014-8-21 12:17
不是只记录方块。只要关闭了命令记录就可以了,其他的记录不危害服务器安全性的
作者: eyz1993 时间: 2014-8-21 14:04
孙子说,知己知彼,百战不殆。然而我从这个帖子只能看到楼主你在拥有后台权限和日志的情形下,都无法理解熊孩子的作案手法,反而认为co插件这个反熊孩子的利器带有后门,这不是所谓的“自毁万里长城”?
作者: 616315246 时间: 2014-8-21 20:13
删除玩家CO I权限
作者: 坑爹2号 时间: 2014-8-30 21:59
尼玛原来查询这么屌
作者: kivv 时间: 2014-8-30 22:02
col还可以回档 小心点吧 是你的问题 不是插件的问题