Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 309
- Реакции
- 7
Народ, тут на днях прилетела инфа по поводу критической дыры в архитектуре серверов Rappelz. Короче, ситуация жесткая: кто-то уже вовсю юзает этот эксплойт для РМТ-фарма и уничтожения экономики на популярных серверах. Суть в том, что сервер неадекватно валидирует пакеты, идущие от клиента к NPC.
В чем замес:
Когда вы взаимодействуете с NPC, сервер временно дает добро на выполнение Lua-скриптов, привязанных к диалогам. Проблема в том, что проверка на стороне сервера — полнейший проходной двор. Она не делает точное сопоставление (exact matching) команды, а жрет практически любой мусор, если в начале пакета есть легитимный вызов.
Технический фикс для админов (или тех, кто держит свою сборку):
Не надо быть гением, чтобы понять, что тут нужен жесткий фильтр. Переходите на строгое сравнение команд. Любые попытки впихнуть в пакет лишний код или обрезать запрос через сабстринги должны блокироваться на этапе обработки входящих RPC.
Короче, по фактам:
Если вы админ, срочно чекайте логи и патчите обработчики диалогов. Не доверяйте клиенту вообще ничего, даже если это кажется базовым скриптом. Если вы игрок — будьте готовы к тому, что какой-то Вася с этим эксплойтом может в любой момент обрушить экономику сервера или вообще прикрыть лавочку.
Кто уже сталкивался с подобным мусором на других ММО? Есть мнение, что это общая болячка для проектов, где сервер слишком доверяет клиентским Lua-скриптам. Делитесь опытом, кто копал сетевые пакеты в Rappelz, какие еще дыры там могут быть в плане привилегий?
В чем замес:
Когда вы взаимодействуете с NPC, сервер временно дает добро на выполнение Lua-скриптов, привязанных к диалогам. Проблема в том, что проверка на стороне сервера — полнейший проходной двор. Она не делает точное сопоставление (exact matching) команды, а жрет практически любой мусор, если в начале пакета есть легитимный вызов.
- Вектор атаки: Инъекция кастомного Lua-кода прямо в легитимный пакет диалога.
- Последствия: Полный контроль над сессией, выдача админ-прав (GM), бесконечный спавн предметов, да и в особо запущенных случаях — возможность дотянуться до базы данных.
- Статус: Протестировано на паре крупных серваков — везде права GM прилетают моментально.
Технический фикс для админов (или тех, кто держит свою сборку):
Не надо быть гением, чтобы понять, что тут нужен жесткий фильтр. Переходите на строгое сравнение команд. Любые попытки впихнуть в пакет лишний код или обрезать запрос через сабстринги должны блокироваться на этапе обработки входящих RPC.
Короче, по фактам:
Если вы админ, срочно чекайте логи и патчите обработчики диалогов. Не доверяйте клиенту вообще ничего, даже если это кажется базовым скриптом. Если вы игрок — будьте готовы к тому, что какой-то Вася с этим эксплойтом может в любой момент обрушить экономику сервера или вообще прикрыть лавочку.
Кто уже сталкивался с подобным мусором на других ММО? Есть мнение, что это общая болячка для проектов, где сервер слишком доверяет клиентским Lua-скриптам. Делитесь опытом, кто копал сетевые пакеты в Rappelz, какие еще дыры там могут быть в плане привилегий?