Minecraft(我的世界)中文论坛

 找回密码
 注册(register)

!header_login!

只需一步,立刻登录

查看: 2671|回复: 11

[公告] [公告]关于部分NukkitX插件存在刷OP权限漏洞的提醒/建议开发者注意NK2.0最新动态

[复制链接]
PQguanfang 当前离线
积分
4238
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2014-7-30
查看详细资料
 楼主| 发表于 2020-3-5 14:22:52 | 显示全部楼层 |阅读模式
基岩版插件发布
中文名称:
英文名称: 1
来源: 重制/改造
前置插件: 1
服务端类型: Nukkit(旧) 
插件类型: 娱乐 
支持版本:  
下载地址: http://www.mcbbs.net
原帖地址: -
最后更新: 2020-08-31

您尚未登录,立即登录享受更好的浏览体验!

您需要 登录 才可以下载或查看,没有帐号?注册(register)

x
本帖最后由 PQguanfang 于 2020-8-31 17:47 编辑

给各位使用NukkitX服务端核心开服的服主们:
   
      现已查实,NukkitX服务端核心中,对于插件的以OP身份执行命令判断机制存在问题。如果您安装了涉及以OP身份执行命令的插件,请立即关注本贴,因为这将可能导致您所开启的NukkitX服务器有玩家刷取OP的风险
      现已在本版中的Nukkit插件专区发现以下插件含有问题,请服主们自行考虑是否需要继续使用下述插件:




    ●Knickers——菜单插件——其中的玩家点击按钮执行命令中会触发此问题,请修改为以控制台身份执行命令即可
    ●DogSign——签到插件——其中的玩家签到执行命令功能会触发此问题
    ●更多插件等待补充,如果您发现哪个插件也会触发此问题,请在本贴回复。本贴禁水。

      也请上述插件的作者尽快更新,将您插件中的以OP身份执行命令改为以控制台身份执行命令。同时我们也向各位服主推荐下面的一个插件:
●插件地址:https://www.mcbbs.net/thread-888078-1-1.html

评分

参与人数 4人气 +6 金粒 +35 收起 理由
你的旺财 + 1 + 5 MCBBS有你更精彩~
innc + 2 + 30 Ssssssssssssssssssss
AzureHanChen + 2 MCBBS有你更精彩~
惊鸿落人间. + 1 锁帖

查看全部评分

innc 当前离线
积分
3036
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2017-2-5
查看详细资料
发表于 2020-3-6 14:37:16 来自手机 | 显示全部楼层
我靠,我是说前段时间怎么op.txt多了一个我不认识的名字,而且翻阅了开服一来所有的日志都没有发现异常,原来是因为这个原因,那天吓死我了,还好那个玩家什么都不知道
回复

使用道具 举报

一只鸽纸 当前离线
积分
2460
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2018-9-15
查看详细资料
发表于 2020-3-6 17:01:12 | 显示全部楼层
innc 发表于 2020-3-6 14:37
我靠,我是说前段时间怎么op.txt多了一个我不认识的名字,而且翻阅了开服一来所有的日志都没有发现异常,原 ...

我服务器一个玩家用Dogsign不小心卡出来OP,还好是内测元老没搞破坏,还帮忙排查问题
回复

使用道具 举报

一只炙寒 当前离线
积分
167
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2020-1-30
查看详细资料
发表于 2020-3-6 17:06:23 | 显示全部楼层
Kinckers只要是以op执行命令的均会可能获得op权限
目前的解决方法是,修改为玩家方式或者控制台方式执行命令即可
其他的默认以op权限执行命令的插件都有可能吧
解决方法就是安装个op管理插件,比如Amentia(个人推荐)
(可能对此问题理解不当,大佬勿喷)
回复

使用道具 举报

innc 当前离线
积分
3036
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2017-2-5
查看详细资料
发表于 2020-3-6 18:39:41 | 显示全部楼层
端典程序猿 发表于 2020-3-6 17:01
我服务器一个玩家用Dogsign不小心卡出来OP,还好是内测元老没搞破坏,还帮忙排查问题 ...

看来不止我一个人遇到这个问题呐,莫非这些插件都是进行的临时提权然后再执行特权命令?随后在撤销OP权限?要是真的是这样那的确是很危险,想想就害怕
回复

使用道具 举报

innc 当前离线
积分
3036
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2017-2-5
查看详细资料
发表于 2020-3-6 18:42:01 | 显示全部楼层
一只炙寒 发表于 2020-3-6 17:06
Kinckers只要是以op执行命令的均会可能获得op权限
目前的解决方法是,修改为玩家方式或者控制台方式执行命 ...

哎,可能是插件对这种情况处理的不够吧,个人觉得应该在临时提权后把还没来得及撤销权限的名字写到配置文件里,下次服务器启动的时候进行检查并处理,不然要是还没来得撤权就关服就不好了
回复

使用道具 举报

Kenneth_z 当前离线
积分
2825
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2015-3-1
查看详细资料
发表于 2020-3-7 15:44:37 | 显示全部楼层
本帖最后由 Kenneth_z 于 2020-3-7 15:45 编辑

两个插件都是给玩家OP,执行完命令在去掉OP,我觉得是很危险的
可以从权限方面入手,不需要非得执行命令都要OP
NK2.0现在还在快速迭代,api都还没定下来,各种蜜汁bug,这个时候推荐开发者使用2.0

回复

使用道具 举报

皓月凌空888 当前离线
积分
335
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2016-7-2
查看详细资料
发表于 2020-3-7 21:46:26 | 显示全部楼层
本帖最后由 皓月凌空888 于 2020-3-7 21:47 编辑

2.0正式用可能还有点久远
用一些权限管理插件就好了吧
LuckPerms无所畏惧
回复

使用道具 举报

catrinbow 当前离线
积分
233
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2019-7-14
查看详细资料
发表于 2020-3-8 10:23:08 | 显示全部楼层
所以说是核心的问题啦?
回复

使用道具 举报

吕易天 当前离线
积分
3520
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2015-1-12
查看详细资料
发表于 2020-6-14 22:03:59 | 显示全部楼层
本帖最后由 吕易天 于 2020-6-15 07:15 编辑

其实只要用Proxy代替setOp就行了举个例子:
CommandSender pro=(CommandSender)Proxy.newProxyInstance(this.getClass().getClassLoader(),new Class<?>[]{CommandSender.class, InventoryHolder.class, ChunkLoader.class, IPlayer.class},(proxy,method,args)->{
if(method.getName().equals("isOp"))
  return true;
return method.invoke(originalPlayer,args);
});
Server.getInstance().dispatchCommand(pro,cmd);
实在不行就用cglib,毕竟nukkit的Player和bukkit的CraftPlayer不一样,没加final(我怀疑bukkit开发团队用了SonarLint,到处给我加final)
如果不嫌麻烦也可以手写静态代理

评分

参与人数 1人气 +2 金粒 +30 收起 理由
white_cola + 2 + 30 神乎其技!6的飞起!

查看全部评分

回复

使用道具 举报

吕易天 当前离线
积分
3520
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2015-1-12
查看详细资料
发表于 2020-6-14 22:34:46 | 显示全部楼层
innc 发表于 2020-3-6 18:42
哎,可能是插件对这种情况处理的不够吧,个人觉得应该在临时提权后把还没来得及撤销权限的名字写到配置文 ...

所以应该用Proxy或cglib而不是直接setOp,直接设置实际op是非常不安全的操作
回复

使用道具 举报

烈阳XWIN 当前离线
积分
3
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2020-6-24
查看详细资料
发表于 2020-6-25 12:39:48 来自手机 | 显示全部楼层
本帖最后由 烈阳XWIN 于 2020-6-25 12:41 编辑

看了这文确实很危险,都不敢下载菜单签到系统之类的了,不过如果是可以获得op,是不是添加op管理那些白名单就可以了,比如:AuthorizedOP,或者是后台管理那些(纯属建议大佬不喜勿喷,如果有错十分抱歉
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册(register)

本版积分规则

Archiver|小黑屋|Mcbbs.net ( 京ICP备15023768号-1 ) | 京公网安备 11010502037624号 | 手机版

GMT+8, 2020-10-29 21:04 , Processed in 0.119716 second(s), Total 24, Slave 23 queries, Release: Build.2020.10.27 1523, Gzip On, Redis On.

"Minecraft"以及"我的世界"为Mojang Synergies AB的商标 本站与Mojang以及微软公司没有从属关系

© 2010-2020 我的世界中文论坛 版权所有 本站原创图文内容版权属于原创作者,未经许可不得转载

快速回复 返回顶部 返回列表