Minecraft 1.10 oyuncuları sunucudan atma, kickleme açığı - Minecraft 1.10 players kick exploit

[FinickiPhantom]

Çünkü Eğlenceliydi 1 Sene önce onun için, Ama Şimdi değil.

Allah kurtarsın ne diyim. Saldırmaktan ben de zevk alırdım ama bu bir hastalık. Hepimizin ortak hastalığı.

 

[BlondeCow]

Geçen yaz kullandığınız clienti engellemenin yolunu 1 sene sonra paylaşmak yerine niye geçen sene paylaşmadığınızı söyler misiniz? İnsanlar açık Türkiye'de yayılmadan çok önce önlemini alabilirdi.

Tek bir mesajımda cevabını veriyorum fakat hala sorma gereği duyuyorsun. "açığa neden olan şeyler hakkında bir fikir sahibi olmak için arayış içinde bulunmanız gerekirken bunu yapana " sen nasıl böyle bir şey yaparsın #!$&" diye laflar söyleyemezsin." client artık tek bir YouTube aramasıyla bulunabilecek hale geldi bu yüzden paylaşma gereği duydum.

 

[BlondeCow]

Çünkü Eğlenceliydi 1 Sene önce onun için, Ama Şimdi değil.

Benim yerime karar verme yetisini sana kim veriyor anlamadım, eğlenceli veya eğlencesiz olması seni ilgilendirmez bu bana özgü bir şey.

 

[Joe12]

Bu açık 1.13'de olabilir mi?

 

[BlondeCow]

Bu açık 1.13'de olabilir mi?

şu an mevcut olan sürümlerden sadece 1.10 sürümünde mevcut.

 

[AlperKTS]

Benim yerime karar verme yetisini sana kim veriyor anlamadım, eğlenceli veya eğlencesiz olması seni ilgilendirmez bu bana özgü bir şey.

Questions : Why you do this? Just for FUN.

 

[AlperKTS]

Tek bir mesajımda cevabını veriyorum fakat hala sorma gereği duyuyorsun. "açığa neden olan şeyler hakkında bir fikir sahibi olmak için arayış içinde bulunmanız gerekirken bunu yapana " sen nasıl böyle bir şey yaparsın #!$&" diye laflar söyleyemezsin." client artık tek bir YouTube aramasıyla bulunabilecek hala geldi bu yüzden paylaşma gereği duydum.

Güldürdün.. Arkadaş " nasıl böyle bir şey yaparsın #!$&" dememiş ??

 

[BlondeCow]

Güldürdün.. Arkadaş " nasıl böyle bir şey yaparsın #!$&" dememiş ??

"Geçen yaz kullandığınız clienti engellemenin yolunu 1 sene sonra paylaşmak yerine niye geçen sene paylaşmadığınızı söyler misiniz? İnsanlar açık Türkiye'de yayılmadan çok önce önlemini alabilirdi. " Sanırım kendisi bir sunucu sahibi ki böyle bir yorum yapmış, bunu kendisi arayıp bulması veya konudan yararlanıp teşekkür etmesi gerekirken neden 1 sene sonra paylaştın demeyi tercih etmiş, yazmış olduğum sadece bir örnek cümleydi o cümleden sadece "nasıl böyle bir şey yaparsın #!$&" kısmını alarak ne yapmaya çalıştığını belli ediyorsun daha fazla konuya saçma yorumlar atmamanı rica ediyorum. İyi forumlar.

 

[BlondeCow]

Questions : Why you do this? Just for FUN.

Dediğim gibi yazmış veya söylemiş olduğum kelimeler, cümleler seni ilgilendirmez.

 

[AlperKTS]

Dediğim gibi yazmış veya söylemiş olduğum kelimeler, cümleler seni ilgilendirmez.

Anlıyorum seni tamam..

 

[Joe12]

Adam size yardım ediyor. Teşekkür etmek yerine, resmen küfrediyorsunuz.

 

[BlondeCow]

Adam size yardım ediyor. Teşekkür etmek yerine, resmen küfrediyorsunuz.

Teşekkürler, iyi forumlar.

 

[successed]

Sunuculara girip grief yaptığı konu hakkında bilgi vermemiş ben bari 2 3 kelam edeyim, crack launcher mojang a bağlanıp uuid ile kullanıcı adının birebir uyumluluğunu kontrol etmediği için maalesef cracklı sunucuya kayıt olurken kullandığı normal kullanıcı adı ve şifre ile giriş yaparak kurucu yetkilerine haiz oluyor. Peki bu iş nasıl oluyor ?, Clientin biri siz servere oyuncu ile girip çıkınca farklı birinin uud si ile girmenizi sağlıyor.
mesela candy craft diyelim, ben direk yetkilinin uuid sini atayım,
UUID of player Nexima is 19ad13bf-8770-38a3-87f5-c1d507c93a5e (konu sahibine hediyem olsun )
bu arkadaşın uuid si ile osman nickinde birisi servere giriş yaparak bu uuid ye haiz olan yetkileri kullanabiliyor.

Çözüm benim için en basit yöntemi aslında şöyle bir düzenleme yapılabilir, Kurucu uuid oyuna girdiğinde veya Op yetkisine ait kimse oyuna girdiğinde rastgele şifre sorsa sizde bunu server dosyası içerisinden görebilseniz veya o şifreyi kendiniz belirleseniz bunlarla uğraşmanıza da gerek kalmaz diye düşünüyorum, Yada sadece siz oyunda iken kendinize yetki verseniz de çıkarken tüm yetkinizi alsanız en basit garantisi olur Yada AntiUuidSploof pluginini yükleyin.

E birazda kick all diyelim;
Bu kick all olayı aslında çok basit, paylaştığı pluginin içerisinde authme nin kendi açığı olan "login another location" hatasının engellenmesi mevcut, lakin kendisinin elinde olan hile 1.10 version, peki bu clientin 1.8 versiyonunun çalışmadığı ne malüm ? Hoş çalışsada bir şey değişmez, paylaştığı plugin i detaylı incelediğimizde authme bunu yeni sürümlerinde engellemese dahil ortadan kaldırıyor.

Şunuda söyleyeyim, Bu uuid ile çok gelişmiş açıklar mevcut, aklınızda bulunsun. [ Örn: premium sunucu açsanız bile biri siz oyunda oynarken sizin yerinize servere girip sizi oyundan attırabiliyor ]

 

[TurkiyeQQ]

İşin daha gelişmişini söyleyeyim, konu sahibinin youtube kanalında grief videoları var girip izlersiniz, bu konu hakkında bilgi vermemiş ben bari 2 3 kelam edeyim, crack launcher mojang a bağlanıp uuid ile kullanıcı adının birebir uyumluluğunu kontrol etmediği için maalesef cracklı sunucuya kayıt olurken kullandığı normal kullanıcı adı ve şifre ile giriş yaparak kurucu yetkilerine haiz oluyor. Peki bu iş nasıl oluyor ?, Clientin biri siz servere oyuncu ile girip çıkınca farklı birinin uud si ile girmenizi sağlıyor.
mesela candy craft diyelim, ben direk yetkilinin uuid sini atayım,
UUID of player Nexima is 19ad13bf-8770-38a3-87f5-c1d507c93a5e (konu sahibine hediyem olsun )
bu arkadaşın uuid si ile osman nickinde birisi servere giriş yaparak bu uuid ye haiz olan yetkileri kullanabiliyor.

Çözüm benim için en basit yöntemi aslında şöyle bir düzenleme yapılabilir, Kurucu uuid oyuna girdiğinde veya Op yetkisine ait kimse oyuna girdiğinde rastgele şifre sorsa sizde bunu server dosyası içerisinden görebilseniz veya o şifreyi kendiniz belirleseniz bunlarla uğraşmanıza da gerek kalmaz diye düşünüyorum, Yada sadece siz oyunda iken kendinize yetki verseniz de çıkarken tüm yetkinizi alsanız en basit garantisi olur

E birazda kick all diyelim;
Bu kick all olayı aslında çok basit, paylaştığı pluginin içerisinde authme nin kendi açığı olan "login another location" hatasının engellenmesi mevcut, lakin kendisinin elinde olan hile 1.10 version, peki bu clientin 1.8 versiyonunun çalışmadığı ne malüm ? Hoş çalışsada bir şey değişmez, paylaştığı plugin authme bunu engellemese dahil ortadan kaldırıyor.

Not: Konu sahibi kendince günah çıkartmaya çalışmış, Birde demezmi siz gelişin diye ben paylaşmadım bunu yaww

Şunuda söyleyeyim, Bu uuid ile çok gelişmiş açıklar mevcut, aklınızda bulunsun. [ Örn: premium sunucu açsanız bile biri siz oyunda oynarken sizin yerinize servere girip sizi oyundan attırabiliyor ]

"crack launcher mojang a bağlanıp uuid ile kullanıcı adının birebir uyumluluğunu kontrol etmediği için maalesef cracklı sunucuya kayıt olurken kullandığı normal kullanıcı adı ve şifre ile giriş yaparak kurucu yetkilerine haiz oluyor."

Bu dediğini videoya alarak CandyCraft'ta yetkilinin hesabına girip daha anlaşılır şekilde gösterebilirsin Yani diyorsun, IPWhitelist vb. diğer plugini kullanmanıza gerek yok [SECURITY] AntiUUIDSpoof hepsini hallediyor Yetkili hesabına sen de bu yolla giremeyeceğinden adın gibi eminsin, bu yüzden IPWhitelist vb. diğer plugine bu mesajın hakaret olur Attığın post'u uzun gözüküp kendini haklı çıkartma çabalarına girmişsin, ama yapamamışsın Burdan soruyorum, mağara soğuk mu? Çözümü basit demişsin yetkili kişi oyundan çıktığında yetkisini alırsa en basit garantisi olur demişsin uzun laflara girmişsin anladım ki Spigot'ta ki [SECURITY] AntiUUIDSpoof IPWhitelist OnlyProxyJoin boşuna varmış

 

[successed]

"crack launcher mojang a bağlanıp uuid ile kullanıcı adının birebir uyumluluğunu kontrol etmediği için maalesef cracklı sunucuya kayıt olurken kullandığı normal kullanıcı adı ve şifre ile giriş yaparak kurucu yetkilerine haiz oluyor."

Bu dediğini videoya alarak CandyCraft'ta yetkilinin hesabına girip daha anlaşılır şekilde gösterebilirsin Yani diyorsun, IPWhitelist vb. diğer plugini kullanmanıza gerek yok [SECURITY] AntiUUIDSpoof hepsini hallediyor Yetkili hesabına sen de bu yolla giremeyeceğinden adın gibi eminsin, bu yüzden IPWhitelist vb. diğer plugine bu mesajın hakaret olur Attığın post'u uzun gözüküp kendini haklı çıkartma çabalarına girmişsin, ama yapamamışsın Burdan soruyorum, mağara soğuk mu? Çözümü basit demişsin yetkili kişi oyundan çıktığında yetkisini alırsa en basit garantisi olur demişsin uzun laflara girmişsin anladım ki Spigot'ta ki [SECURITY] AntiUUIDSpoof IPWhitelist OnlyProxyJoin boşuna varmış

Konu sahibi zaten videolarını çekmiş, grief videolarını izlersen gerekli bilgiye erişirsin,Benim türk sunuculara zarar verme gibi bir düşüncem asla olamaz,
burada kimseye bir sonuç kanıtlamak zorunda değilim, Siz belki farkında değilsiniz fakat ben konu sahibinin kullandığı grieflerin neden kaynaklandığını ve alınması gereken önlemleri açıkladım. Bahsettiğin antiuuidsploof ve diğerleri çok farklı pluginler,
ipwhitelist ve onlyproxyjoin pluginleri uuid kontrolü yapmaz,
belirli bir ip adresinden sadece sunucuya proxy ile girmenizi sağlar,
benim tercihim ve sizede tavsiyem eğer vds yada dedicated bir sunucu kullanılıyorsam kendi üzerindeki firewall sistemi kullanılması, bu manada sadece bungeecord giriş sağlanabilir,Yani sadece standart dışı olarak 25565 portunu açık bırakıyorum, bu durumda tamamen korunmuş oluyor oyun sunucum.

Fakat AntiUUIDSpoof çok farklı bir durum, pluginin gerekli açıklaması zaten yazıldığı gibi, bu durum 1.8 den itibaren başladığı için de plugin sürekli geliştirilmiş ve şu an bakabilirsiniz versiyon 18, ile 1.11 arasındaki tüm sürümleri kapsıyor,
AntiUUIDSpoof ne işe yarar ? Bkz:
Son zamanlarda, bir hacker istemcisi görüldü ve yetkili uuid'inizi kullanmanıza izin veriyor. Hacker kendi adıyla farklı uuid ile giriş yapar ve hacker bir yönetici uuid kullanabilir. Bu saldırıya uğrayan sunucu sahiplerinin tamamen "Kurucu" yetkisine sahip olabilir.
Bu eklenti bu tür saldırı girişimlerine engel olmak için, farklı uuid ile giren kullanıcıları oyundan atıyor.
Yani kısaca test etmenizde yarar var bu arkadaşın griefini bu şekilde engelleyebilirsiniz.

Orjinal launcherden premium hesaba giriş yapıldığında, uuid, ve kullanıcı ismi direkt mojang a iletilir, özellikle premium bir servere giriyorsanız bu işlem launcherde son bulur, Crack sunucularda bunlar yapılamıyor,Çünkü launcher crack, yani bu konuda mecburen birilerinin plugin yazması ve paylaşması gerekliki her join yada login olmaya çalışanı teker teker kontrol etsin. AntiUUİDSploof plugini bu konuda teste tabi tutulmalı bana göre. Bu konuda bu plugini paylaştığın için sana ayrıca teşekkür ederim, nekadar yapıcı ve anlamını pek bilmesende en azından türk serverlerine farklı bir yol göstermiş oldun