• Bem vindo à nossa comunidade - Quer se juntar ao resto dos nossos membros? Registre-se*Registros aprovados pela adminitração

Explorando e Corriginfo Vulnerábilidade MU 97D

Crashey

Novato XPZ
Primeiramente, para quem vir dizer que eu sou        de postar isso aqui que muitos usarão esse método para zuar os 97D estarão enganados, esse método caiu na mão de quem não devia, isso digo esses pivetes que zoam servidores por diversão ( não, não irei mencionar nomes ) ...

 

Estarei demonstrando uma vulnerábilidade/falha na maioria de servidores de MU 97D e também estarei ensinando 2 métodos de corrigir essa falha, um assunto que já está muito falado foi que eu exclui todos os chars do MU White, essa ação foi praticada por meio dessa falha que irei demonstrar.

 

O método que eu pratiquei para excluir os chars do Mu White, Mu Slogan e Mu Eclipse consiste em executar uma query dentro do próprio jogo.

 

Como fazer isso ?

 

Pelo Guild Announce, você digita uma simples query no anúncio da guild e ela funcionará no SQL.

 

Vale lembrar que eu não sei se esse método é antigo, estou postando apenas pelo fato de ainda estar funcional e pode trazer problemas para os servidores 97D.

 

Tenho 1 pedido a fazer, peço para que todos que verem esse tópico repassa-los aos administradores de MU 97D e para quem ainda vai criar o servidor.

 

 

Possíveis query's que podem estar sendo aproveitadas pela falha:

 

Código:
Por favor, Entrar ou Registrar para ver o conteúdo dos códigos!
@>;' drop table character --                                   / Remove uma tabela


@>;' UPDATE MEMB_INFO SET bloc_code=0 --                       / Desbloqueia todas contas


@>;' UPDATE MEMB_INFO SET bloc_code=1 --                       / Bloqueia todas contas[/PHP]




 

No lugar de character é possível colocar qualquer tabela da DataBase de MU 97D

 

Agora irei ensinar 2 métodos de patchar essa falha.

 

1 - Esse método foi adotado pelo MU2 ( Antigo Mu Eclipse ), quando tal player anuncia na guild aspas' essa aspas vira um ponto de interrogação? , esse método patchou a falha do Guild Announce.

 

2 - Algumas exdb bloqueiam a execução de query's pelo Guild Announce, irei deixar uma exdb que bloqueia logo abaixo...

 

Vale lembrar que esse método não é funcional em " TODOS " os MU's 97D, mas ele é funcional em uma boa parte de servidores 97D ( Método funcionou no Mu White, Mu Slogan e Mu Eclipse) e novamente peço para que quem ver esse tópico divulga-lo para os donos de servidores 97D.

 

Download da exdb com proteção a esse método :
Por favor, Entrar ou Registrar para ver o conteúdo das URLs!


Scan da exdb :
Por favor, Entrar ou Registrar para ver o conteúdo das URLs!


 

 

Qualquer duvida podem me consultar no skype : bycrashey
 

Wantedd

Honrado XPZ
char* Msg= &Message->Message[0];

 

if(Msg[0] == '@' && Msg[1] == '>')

{

for(unsigned int i = 0; i < strlen(Msg); i++)

{

if(Msg == ''')


{


Msg = '"';


}


}


}


 


a função acima vai verifica se é digitado o ' se sim ele retorna com "
 
Editado por um moderador:
Topo Bottom