热点推荐

小喇叭+ 发布

01-16 02:17
01-16 02:04
01-13 17:30
查看: 755|回复: 0

[脚本示例] 翎风最新M2漏洞:后果很严重

[复制链接]
avatar

签到天数: 350 天

[LV.8]以坛为家I

7651

主题

255

回帖

31万

积分

司徒主管

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

UID
1
司徒币
260203
传世币
3000
元宝
0
在线时间
266 小时

最佳新人灌水之王

QQ
online_admin 发表于 2021-12-25 14:47:53 | 显示全部楼层 |阅读模式
当我们第一次听客户反应有人可以用命令跟玩家强行交易时,第一感觉就是,一定是翎风的M2又出什么漏洞了。
具体了解了一下过程,重点集中在了两上奇怪的命令上,@startbuy@sellmode最后查出漏洞的根源,发布给大家,请客户及时把漏洞补上。

1漏洞的来源:
LF自7.15的M2后,加上了拍卖系统,增加两个命令"@startbuy""@sellmode",可是有个命令却使用权限只是0,这就是说玩家也可以用.虽然本来就是为玩家准备的.可是LF却一直没有公布这2个命令.要是被人恶意搞坏的话.后果会一片混乱噢..

2漏洞的用法:
假如我现在想骗玩家的装备,准备一些网币,然后占在一个玩家的对面,打上命令@startbuy游戏里没有什么反应和提示的话,说明这个命令生效,正常如果打错了会在中出现红字,提示你没有什么权限之类的。
然后多半是骗对方我知道一个刷钱的命令,让对方打上@sellmode命令,这时我就会出现对方的物品栏,对方的仓库里的东西你就可以象在商店买东西一样买到身上。 织梦好,好织梦

3解决方法:
找到里d:/mirserver/mir200/Command.ini配置文本
找到这两个命令然后改名即可.
SellMode=SellMode->改成SellMode=SellMode23213123
StartBuy=StartBuy->改成StartBuy=StartBuy2134213
改成只要不让玩家能猜到就行。

帖子地址: 





上一篇:开私服出现问题,请进传奇私服FAQ
下一篇:详解合成机率是20分之1的脚本
回复

使用道具 举报

懒得打字嘛,点击右侧快捷回复 【乱回复灌水将给予禁言处理】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则