本帖用于发布一些已经确认的、波及面比较广的多人联机游戏BUG,以及解决方案,建议各位服主没事就来这里逛逛,让自己的服务器免受熊孩子打扰。
A.原版游戏漏洞,并能在联机服务器生效的
1.利用原版漏洞刷出数量为-1的物品,并无限复制
危害等级:高
实施难度:高
触发流程: 在你将物品放入箱子的时候,如果有另外一个玩家敲掉了这个箱子,就有几率同时在地上和你的背包内生成2个物品,然后将地上的掉落物用打火石等毁掉,你背包内的物品数量就会成为-1,这时候将数量为-1的物品放入发射器就可以无限发射出可用的物品 解决方案: 2.利用地狱门和运输类矿车刷物品 将物品放到运输类矿车上,然后将其推入地狱传送门,在即将进入门的时候,将矿车内的物品取出来;多次重复后,有一定几率将物品在你背包和已传送到地狱的矿车中同时生成一份,达到了复制物品的目的 在地狱或者末地放置床以后右键会发生爆炸,利用此特性在别人领地周围放床,就可以把别人的领地炸个坑出来 在spigot1.8~1.8.3版本中,玩家可以通过修改成书的NBT数据来添加可通过点击来执行的命令,当OP点击了玩家的这本书中的内容后,就会执行一些高权限命令,例如把玩家提权为OP。 这是1.6.4和1.7.2(还包括早期的1.7.10服务端,后续1.7.10版本已修复)Mod服务端自身的BUG
安装修复插件 http://www.mcbbs.net/thread-414881-1-1.html
危害等级:低
实施难度:高
触发流程:
解决方案:
a.安装修复插件 http://www.mcbbs.net/thread-415779-1-1.html
b.禁止地狱门的生成,或者禁止运输类矿车的使用
3.在地狱或末地用床破坏别人的领地
危害等级:中
实施难度:低
触发流程:
解决方案:
在地狱或者末地禁止床的放置
1.纯净服1.8~1.8.3版本可利用NBT漏洞执行越权命令
危害等级:高
实施难度:高
触发流程:
在1.8.6及以后版本中玩家无法创建此类成书,但是如果在以前版本创建好,然后迁移存档到1.8.6及更高版本,那么其中的命令还是可以被执行的
解决方案:
a.OP不要随意点击玩家给你的书
b.使用1.8.6及以上的服务端,并且使用新的地图和玩家存档
c.使用修复插件:https://www.spigotmc.org/resources/bookexploitfix.5897/ ,然后在阅读之前手持书本使用命令 /filter ,根据提示内容判断即可
C.Mod服务端(mcpc+、cauldron等)自身的漏洞
1.在1.6.4和1.7.2的mcpc+/cauldron服务器内使用骨粉可以无限刷方块
危害等级:高
实施难度:中
触发流程:
1.玩家先在周围摆个方块(想要无限刷的方块,例如钻石块)
2.然后在地上种植一个树苗或蘑菇,然后对着树苗使用一次骨粉
3-1.如果树苗没有生长成大树,就可以敲掉这个树苗,然后右键它原来在的方块顶,就会发现这个地方又出现了一个树苗。这时候敲掉你想要刷的方块,右键方块下面的方块顶面,想刷的方块就会再次出现
3-2.如果树苗长成了大树,就重复1~3步骤,只有当树苗不变成大树的时候才可以使用此BUG
解决方案:
禁止玩家使用骨粉
D.主流常见的插件自身的漏洞或一般插件的严重漏洞
1.ChestShop箱子商店刷任意物品BUG
危害等级:高
实施难度:低
原因:插件自身代码漏洞
触发流程:
1.创建一个箱子商店,在第二行填入数量,第三行填入1E1B10000000000,第四行填入物品ID
2.创建成功后用其他号过来买东西,不需要花钱就能刷物品,物品ID由牌子上第四行决定,可以刷出任意物品,包括命令方块
解决方案:
a.本BUG只在v3.76及以下版本的ChestShop插件上有效,更换v3.77及以上版本即可
b.禁止玩家创建商店,权限节点为 -ChestShop.shop.create
2.QuickShop快捷商店刷钱
危害等级:低
实施难度:低
原因:配置文件的设置问题
触发流程:
1.将玩家名改为tax
2.如果插件配置保持默认,那么这名玩家的金钱会随着交易自动增加
解决方案:
a.在本插件的配置文件中,将 tax-account: tax 修改为服主名字或空
b.关闭本插件的税收,即 tax: 0.05 修改为 0
3.QuickShop快捷商店刷物品BUG
危害等级:高
实施难度:中
原因:配置文件的设置问题
触发流程:
1.在箱子商店旁边摆个漏斗
2.用活塞把箱子上面的漂浮物推到漏斗上面,物品就会被漏斗吸进去成为可用的了
解决方案:
在本插件的配置文件中,将 display-items: true 修改为 false
危害等级:高
实施难度:低
原因:配置文件的设置问题/权限设置不当
触发流程:
使用 co l a:command u:OP名 t:时间 命令来查看OP的 login 命令,从而得知OP密码
解决方案:
a.在本插件的配置文件中,将 player-commands: true 修改为 false,从而不记录所有人的命令
b.禁止玩家使用命令查询功能,权限节点为 -coreprotect.lookup.command
5.利用领地插件无限刷甘蔗、仙人掌
危害等级:低
实施难度:低
触发流程:
玩家A在领地内放置甘蔗和仙人掌等,然后没有领地破坏权限的玩家B使用门来占用甘蔗旁边的水源或占用仙人掌旁边的空位,原版设定就会让甘蔗和仙人掌掉落,但是因为领地插件的存在,这些掉落的甘蔗和仙人掌会瞬间恢复,所以可以通过这个手段来无限刷甘蔗与仙人掌出来
解决方案:
安装修复插件 http://www.mcbbs.net/thread-415779-1-1.html
6.利用SignShop牌子商店获取OP权限
危害等级:高
实施难度:中
触发流程:
在牌子上面分行依次写【[buy] 空 空 数字(价格)】,然后在牌子旁边放置一个箱子,里面随意放个物品,用红石左键箱子和牌子即可创建一个牌子商店,然后打掉牌子下面的方块(让牌子掉下去),然后再在原位置复原一个牌子,分行依次写【[command] op 你的游戏名】,然后点牌子即可将自己提升为OP权限
解决方案:
使用最新版的牌子商店:http://69.175.123.170/job/Signshop/
7.使用PlotMe插件的地皮世界使用牛奶桶将别人的动物变成幼年状态
危害等级:低
实施难度:低
触发流程:
在地皮世界,使用牛奶桶对着别人的成年动物、村民等右键,即可让其变成幼年的状态。即使没别人地皮的权限也可以
解决方案:
a.在PlotMe地皮插件的配置文件中,禁止玩家在别人的地皮上面使用牛奶桶(ID:335)
b.使用Essentials插件,禁止玩家使用牛奶桶(ID:335)
8.RideMe插件导致服务器崩溃
危害等级:高
实施难度
触发流程:
如果装有RideMe插件的服务器,让马骑在你的头上,你再点马骑上去,然后你和所有玩家会被弹出服务器。当你进入的时候,会发现你飞到了天上很高的位置,甚至可能造成服务器回档和刷出一只马的情况
解决方案:
目前只能删除RideMe插件
null