Alte/neue Lücke?

D'Arti · 11/15/2013, 23:28

Quote:

Originally Posted by iSouli~

Man sollte einfach mal nach den alten Videos von .Infinity suchen.
Hihi.

Erstaunlich wie lange es unten gehalten wurde.

~~'ChuckNorris~~ · 11/15/2013, 23:39

Also was ich so bis jetzt herrausgefunden habe durch ausprobieren klappt es nicht ganz so wie ich es mir vorgestellt habe du kannst nicht einfach den auth server auf eigenen Server laufen lassen denn dann bekommt man später die Meldung das Accountname oder Passwort falsch ist (nach Anmeldevorgang läuft) bleibe auf jedenfall dran

Problem wird trotzdem dadurch gelöst das man IDs nimmt die niemand weiß also wenn DB released wird bringt ab jetzt Passwort ändern nichts mehr.

~~.Shyrai~~ · 11/15/2013, 23:42

Quote:

Originally Posted by [LxR]ChuckNorris

Also was ich so bis jetzt herrausgefunden habe durch ausprobieren klappt es nicht ganz so wie ich es mir vorgestellt habe du kannst nicht einfach den auth server auf eigenen Server laufen lassen denn dann bekommt man später die Meldung das Accountname oder Passwort falsch ist (nach Anmeldevorgang läuft) bleibe auf jedenfall dran
Problem wird trotzdem dadurch gelöst das man IDs nimmt die niemand weiß also wenn DB released wird bringt ab jetzt Passwort ändern nichts mehr.

Ich glaube die meinen mit Acc Id nicht z.b Elitepvpers123 sondern die Zahl vor der ID also die Spalte hab den Namen jetzt nicht im Kopf

~~'ChuckNorris~~ · 11/15/2013, 23:43

Quote:

Originally Posted by .Shyrai

Ich glaube die meinen mit Acc Id nicht z.b Elitepvpers123 sondern die Zahl vor der ID also die Spalte hab den Namen jetzt nicht im Kopf

Ja ist schon klar

nostradame37 · 11/15/2013, 23:43

Quote:

Originally Posted by [LxR]ChuckNorris

Also was ich so bis jetzt herrausgefunden habe durch ausprobieren klappt es nicht ganz so wie ich es mir vorgestellt habe du kannst nicht einfach den auth server auf eigenen Server laufen lassen denn dann bekommt man später die Meldung das Accountname oder Passwort falsch ist (nach Anmeldevorgang läuft) bleibe auf jedenfall dran
Problem wird trotzdem dadurch gelöst das man IDs nimmt die niemand weiß also wenn DB released wird bringt ab jetzt Passwort ändern nichts mehr.

Genau richtig alle die mit ID 1 angefangen haben sind schlechter dran wen jetzt einer draufkommen solte

~~'ChuckNorris~~ · 11/15/2013, 23:45

Infinity lässt die Cores auch auf eigenen Server laufen das denke ich läuft darauf hin das er für die account datenbank eigenen Server (localhost) verwendet für player aber die ip vom server dafür müsste man dann aber das Passwort vom MySQL wissen was auch kein Sinn macht eigentlich.

Edit: Ich teste es zur Zeit außerdem auf Shiro2
Edit2: Ich denke fast das er bei der Game Core die Überprüfung rausgeworfen hat und bei der Config bei DB_ADDR die IP vom Server.

~~.HNSY~~ · 11/16/2013, 00:00

Die Account ID (ZAHL!) durch den erstellten Charakter kann man nicht nachverfolgen, z.b ist die id in diesem Fall -5- gibt es in der Account Tabelle jedoch garnicht!

~~'ChuckNorris~~ · 11/16/2013, 00:01

Was können die Angreifer mit diesem Account machen da er ja gar nicht existiert wird er auch keine Chars haben oder?

Änder mal den Port vom DB Core und die Daten vom mt2 bzw sg Account für die Datenbank falls noch nicht gesehen.

Gruß,
Chuck

~~[SA]Tears aka.[BlackBite]~~ · 11/16/2013, 03:46

Quote:

Originally Posted by .Husi'

Seven benutzt die Lücke, schreib' ihn doch mal an.
Btw kannst du bei der "Lücke" dann auch einfach das PW des Admins o.Ä. auf "1" setzen, was normal nicht so machbar ist, - in Verbindung damit, dass auch die ID "1" ist.

Clown, auch wenn ich nur negatives über sich les, hast du wenigstens Ahnung(bedeutet nicht das die anderen nichts drüber wissen)

Seven verrät wenig über die Lücke, musste mir die Infos von vielen Quellen holen, es ist beispielsweise so:

Spieler XYZ macht sich einen player, wird in deine root mysql player.player gespeichert. account.account beziegt er woanders her. (Ich erläuter es nicht weiter, da ich ungern fixxes gegen sachen pubbe die andere "entwickelt" haben, oder andere rausgefunden haben)

PS: Letzter Tipp: Die Datenbank über die es läuft liegt auf einem Localhost bzw. auf einem eigen benutzen Root. Wer damit nix anfangen kann -> sry aber aber alles muss man auch nicht erklären.

PS: Chuck du hast den richtigen Ansatz mit dem Localhost, und wie ich schon schrieb, is bei allen revisionen der fall(auser 404 da ich dir nicht mehr besitze ._.) 2089/M & 34082 weis ich 100% das es geht, bei den rest revisionen hab cih es nur aus Quellen gehört.

~~_Nightwulf_~~ · 11/16/2013, 04:12

der einfache fix ist die account id und player id einfach 200.000 oder so machen dann geht nix mehr

~~[SA]Tears aka.[BlackBite]~~ · 11/16/2013, 04:21

bringt nich viel, da die account ID per localhost verwendet wird. was etwas bringen ürde wär ein MYSQL Event das alle 1-2 Minuten checkt ob ob es zu dem Player auch einen Account gibt ^^ oder es einfach fixxen

~~_Nightwulf_~~ · 11/16/2013, 04:28

ja aber die player index vergesst du wenn die id aus player damit nicht übereinstimmt kann er nicht verbinden ^^die kann er nicht auslesen

~~[SA]Tears aka.[BlackBite]~~ · 11/16/2013, 04:49

is fast das gleiche wie die accountID aber nich dran gedacht das es noch eine player_index gibt

auf jedenfall is es per mysql event zu blocken, in 2 wegen wie man hier sieht. @TE: Wie man ein MYSQL Event macht solltest du ja wissen ^^

~~_Nightwulf_~~ · 11/16/2013, 04:57

die account id ist nicht die gleiche wie die player id über 200.000 die ganzen player ids machen done ^^

und wenn er die account id nicht weisst von den gm account kann er auch nicht auf die player_index zugreifen ^^

~~[SA]Tears aka.[BlackBite]~~ · 11/16/2013, 05:03

ja hab ja geschrieben das ich nichtmehr an die player_index gedacht habe

Natürlich istz die AccountID und player_index was anderes ^^ aber im prinzip "fasst das selbe" verweisen beide auf andere tables^^