频道栏目
首页 > 安全 > 系统安全 > 正文

边锋网络某游戏由于漏洞可执行任意命令

2014-09-18 11:56:05           
收藏   我要投稿

边锋网络最近搞的我的世界1.6.4版使用了signshop插件


该插件带有任意命令执行漏洞 因此可直接执行"op 玩家名"来获得OP

以及执行任意控制台指令



该漏洞利用方式:

先开一个普通商店 牌子插在一块泥土上即可

破坏掉泥土 牌子会跟着被破坏

重新放上泥土 插上牌子

牌子写
 

[command]
op 玩家名



然后右键牌子

即可获得OP权限

也可以把命令换成任意控制台所支持的指令

这个Bug还可以被利用来刷物品/金钱 只需要把command换成ibuy/isell即可

这个Bug还可用于开设任何需要admin权限才可开设的商店 利用方式同上

修复方案:

不要用signshop 这插件在1.6.4的所有版本均包含该漏洞 且signshop已经放弃对1.6.4的更新

上一篇:搜狗高速浏览器最新版5.0及以下版本存在跨域漏洞
下一篇:Adobe Flash for android UXSS
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站