avatar_HouZe

Рисовка статов и ЛВЛ, му бласт?

Автор HouZe, 2011 Дек. 25, 20:38

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Ключевые слова [SEO] mu onlineзащитарисовкаблас

HouZe

Итак на сервере уже 2ю неделю сталкиваюсь с гироками которые рисуют себе ЛВЛ и СТАТЫ, как я понимаю это скорее всего му бласт, и как я знаю он работает через определенный Дата порт...
Если он закрыт файроволлом то как может проходить рисовка?? и Бласт ли это вообще?

DJAKS

не обезательно через бласт можно и через сайт...

Karambula


epmak

через сайт, возможно, через жс, через дату, вообще чисто теоретически, у тех у кого не пофикшен экс дб - через сообщения гильдии.

HouZe

#4
Цитата: epmak от 2011 Дек. 26, 04:50  через сайт, возможно, через жс, через дату, вообще чисто теоретически, у тех у кого не пофикшен экс дб - через сообщения гильдии.
Сайт твой поэтому вряд ли через него, пофикшен ЭКС ДБ  в плане чего ? нужно ковырять .exe или как? Подробнее пожалуйста.

Ах да порты Даты и ЖС закрыты...

epmak

#5
в сайте внимательно просмотри логи. надеюсь ты примерно знаешь, как выглядит SQL Inject (причем смотри ALL, connect, inject maybepostingect)
что касается exdb - эксешник. фиксится заменой эксдб на тот, где уже пофиксено все это дело. в логи exdb глянь.

еще, если стоит мой сайт, то в нем можо рисовать статы персонажам через админку->проверь логи админа. если стоит модуль тения логов, то рекомендую им не пользваться, так как в нем есть пассивная XSS атака(или отключай жава скрипт перед заходом в модуль), новый модуль я не выкладывал и выйдет он в свет с 1.5.0 скорее всего.

HouZe

Цитата: epmak от 2011 Дек. 26, 10:38  в сайте внимательно просмотри логи. надеюсь ты примерно знаешь, как выглядит SQL Inject (причем смотри ALL, connect, inject maybepostingect)
что касается exdb - эксешник. фиксится заменой эксдб на тот, где уже пофиксено все это дело. в логи exdb глянь.

еще, если стоит мой сайт, то в нем можо рисовать статы персонажам через админку->проверь логи админа. если стоит модуль тения логов, то рекомендую им не пользваться, так как в нем есть пассивная XSS атака(или отключай жава скрипт перед заходом в модуль), новый модуль я не выкладывал и выйдет он в свет с 1.5.0 скорее всего.
В логах админа ничего не обнаружено, хочу заметить что те люди которые рисуют Статы они рисуют и другим людям которые не причастны к этому, т.е. опять ссылаемся на Бласт ибо он не требует Пасса и Логина от игры...
Логи все сайтовые посмотрел ничего Читерского и тому подобного нету...

Вот нашел что-то в логах  ДатаСервера про игрока который сам себе нарисовал  Статы...




Вот начинаю с момента когда первый лог с него найден!

Спойлер
SELECT * FROM AccountCharacter WHERE Id = '505050'
exec WZ_CreateCharacter '505050', 'HekpoMeH', '16'
UPDATE AccountCharacter SET GameID1='HekpoMeH' WHERE Id='505050'
SELECT cLevel FROM vCharacterPreview WHERE Name='HekpoMeH'
[свернуть]

потом идёт много
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial

ну там про других чаров тоже что-то пишет, и ПОТОМ вот заметил вот это -

Спойлер
UPDATE Character SET cLevel=350,Class=32,LevelUpPoint=32767, Experience=130000000, Strength=32767, Dexterity=32767, Vitality=32767, Energy=32767, Money=1000000000, Life=32767.000000, MaxLife=32767.000000, Mana=32767.000000, MaxMana=32767.000000, MapNumber=0, MapPosX=0, MapPosY=0, MapDir=0, PkCount=0, PkLevel=0, PkTime=0, DbVersion=3, Leadership=0, ChatLimitTime=0, FruitPoint=0 WHERE Name = 'HekpoMeH'
Connection Closed, dwIoSize == 0 (Index:5)
[  ][ 88.230.170.95:0 ] GameServer Close
UPDATE Character SET cLevel=350,Class=32,LevelUpPoint=32767, Experience=130000000, Strength=32767, Dexterity=32767, Vitality=32767, Energy=32767, Money=1000000000, Life=32767.000000, MaxLife=32767.000000, Mana=32767.000000, MaxMana=32767.000000, MapNumber=0, MapPosX=0, MapPosY=0, MapDir=0, PkCount=0, PkLevel=0, PkTime=0, DbVersion=3, Leadership=0, ChatLimitTime=0, FruitPoint=0 WHERE Name = 'HekpoMeH'
Connection Closed, dwIoSize == 0 (Index:5)
[  ][ 88.230.170.95:0 ] GameServer Close
UPDATE Character SET cLevel=350,Class=32,LevelUpPoint=32767, Experience=130000000, Strength=32767, Dexterity=32767, Vitality=32767, Energy=32767, Money=1000000000, Life=32767.000000, MaxLife=32767.000000, Mana=32767.000000, MaxMana=32767.000000, MapNumber=0, MapPosX=0, MapPosY=0, MapDir=0, PkCount=0, PkLevel=0, PkTime=0, DbVersion=3, Leadership=0, ChatLimitTime=0, FruitPoint=0 WHERE Name = 'HekpoMeH'
Connection Closed, dwIoSize == 0 (Index:5)
[  ][ 88.230.170.95:0 ] GameServer Close
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
SELECT Summoner FROM AccountCharacter WHERE Id = '505050'
SQLSTATE:42S22, SQLSTRING:[Microsoft][ODBC SQL Server Driver][SQL Server]Invalid column name 'Summoner'.
SELECT * FROM AccountCharacter WHERE Id = '505050'
SELECT cLevel, Class, CtlCode, DbVersion FROM vCharacterPreview WHERE Name='HekpoMeH'
SELECT G_Status FROM GuildMember WHERE Name='HekpoMeH'
EXEC WZ_GetItemSerial
DELETE FROM MuCastle_NPC WHERE MAP_SVR_GROUP = 0
EXEC WZ_CS_ReqNpcUpdate 0, 283, 1, 0, 0, 750000, 750000, 94, 227, 1
EXEC WZ_CS_ReqNpcUpdate 0, 277, 1, 3, 0, 3000000, 3000000, 93, 204, 1
EXEC WZ_CS_ReqNpcUpdate 0, 277, 2, 3, 0, 3000000, 3000000, 81, 161, 1
EXEC WZ_CS_ReqNpcUpdate 0, 277, 3, 3, 0, 3000000, 3000000, 107, 161, 1
EXEC WZ_CS_ReqNpcUpdate 0, 277, 4, 3, 0, 3000000, 3000000, 67, 114, 1
EXEC WZ_CS_ReqNpcUpdate 0, 277, 5, 3, 0, 3000000, 3000000, 93, 114, 1
EXEC WZ_CS_ReqNpcUpdate 0, 277, 6, 3, 0, 3000000, 3000000, 119, 114, 1
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
EXEC WZ_GetItemSerial
[свернуть]


как это понимать?

epmak

инжектят через игру  как- не знаю, знаю только способ с гильдиями.

kwestilko

а как через гильдии? можешь рассказать?

HouZe

#9
т.е.  100% Инджект идёт через игру?
И разве возможен инджект не на своего Чара? о_0

DJAKS

инжект может быть на любого чара. Что у тебя за сервер?

cokpat

#11
а вы не забыли, что длинна для мэсаги в клане ограничена?
и запрос типо Update Character set Strength='32767' where name='HekpoMeH'
может не поместится туда?
Update Character set Strength=32767 where name=HekpoMeH
так еще да но опять же не факт что прокатит (если дырка в ExDb)
хотя можно тупо написать Update Characte set Strength='32767' и так с каждым параметром и будет у всех поголовно такие статы кто в оффлайне

HouZe

Сборка ридлановская)) там как понимаю ЭКСДБ кривой скорее всего но Если читер полный гад то ессесьно ВСЕМ бы 32к статов нарисовал бы чтобы убить серв тем самым) но он этого не делает Т.К. что-то ему не даёт

epmak

Цитата: cokpat от 2011 Дек. 26, 15:07  а вы не забыли, что длинна для мэсаги в клане ограничена?
и запрос типо Update Character set Strength='32767' where name='HekpoMeH'
может не поместится туда?
Update Character set Strength=32767 where name=HekpoMeH
так еще да но опять же не факт что прокатит (если дырка в ExDb)
хотя можно тупо написать Update Characte set Strength='32767' и так с каждым параметром и будет у всех поголовно такие статы кто в оффлайне :)
вообще, наверно, ты прав, но циферки экспа + просто циферки очень смущают. ОЧЕНЬ.

Profesor08

можно через ВПЕ пакетик кинуть. Отловил месагу, заменил на нужную, отослал.

user_MU

#15
Топикстартеру. Поставь в фильтр запрет на '
UPDATE тоже можно. Вобще пусть ГС фильтрует на попытку выполнения запроса. И если таки это с помощью чата то больше у них ничего не выйдет, даже если перебить пакеты.

z999z

если не затрудеит обяснити плиз каким образом производится рисовка статов через Гуилд месенж

Deathless

Цитата: z999z от 2012 Март 09, 11:27  если не затрудеит обяснити плиз каким образом производится рисовка статов через Гуилд месенж
В следующий раз пользуйся поиском:
/index.php?topic=3193.0

Похожие темы (1)