PTT推薦

[閒聊] 重大漏洞

看板LoL標題[閒聊] 重大漏洞作者
OlaOlaOlaOla
(喔啦喔啦喔啦喔啦)
時間推噓14 推:14 噓:0 →:9

https://twitter.com/hawolt/status/1623818114608644099

很顯然現在有個很大的漏洞,多虧riot年久失修的義大利麵程式碼。

簡單來說有個超級上古時期(可能可以追溯到beta)的rtmp代碼
會記錄所有隊友的uuid,uuid是每個帳號的獨特編號,
你可以透過知道這個獨特編號來取得這個玩家的一切資訊,
甚至透過rtmp檢舉這個uuid一千次讓這個帳號直接被永ban。


雖然聽起來很容易但是追蹤rtmp傳輸的資料其實是一件很龐大且複雜的工作,
下面的文章大致解釋了rtmp在這其中傳輸了什麼資料。
https://www.twitlonger.com/show/n_1ss84p3


所以如果我的判斷沒錯的話,
可以透過修改的傳輸的資料讓你一直有autofill protection
讓你可以直接檢舉一個爛隊友一千次然後被ban掉,甚至...


https://github.com/Riotphobia/Mundo


沒錯,修改你被ban掉帳號的id,這樣你就可以用你原本的id開一個新帳號...





#fixthisshit
@ritogames

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.33.40.217 (臺灣)
PTT 網址

FQ5566 02/10 16:39還我口吉口吉三比零

h75311418 02/10 16:47駭客效應出來了?

OlaOlaOlaOla:轉錄至看板 C_Chat

02/10 16:58

hold5566 02/10 17:03雖然追蹤rtmp傳輸的資料其實是一件很龐大工作,但只

TaoYPingS 02/10 17:15有我辦得到

vickwang 02/10 17:15摁摁摁 對 確實是這樣沒錯

zyxx 02/10 17:18嗯嗯 跟我想的差不多

Paul001122 02/10 17:33阿可以修改16位ID嗎?

nepholi 02/10 17:37專案名稱用Mundo XDDDDDD 不知道意涵但很有趣

wheels 02/10 17:43感覺是沒有好好做 throttle,而且永ban條件也太隨意

doom3 02/10 18:02beta時期沒有考慮這麼多拉

FiseLEO 02/10 18:06Beta 沒想太多 zzzz s13了 底層沒翻新

FiseLEO 02/10 18:08client 都重寫過一遍了 底層沒重寫..

Godist 02/10 18:32如果檢舉1000次就會被ban的話那也側面反應了這檢舉

Godist 02/10 18:32系統的問題吧,只要有玩家認為你是惡意玩家那你就是

Godist 02/10 18:49最後那個看起來是LCU API的應用,至於16字ID只有新

Godist 02/10 18:50帳號或被強制改名的舊帳號可以改,剛試了下結果如下

Godist 02/10 18:50https://i.imgur.com/FDCQJGT.png

圖 重大漏洞

winstonuno 02/10 18:53還我gg3be0

Godist 02/10 18:56一樣附上渣Code,感謝LOL讓我學會Python和簡單抓包

Godist 02/10 18:56https://i.imgur.com/iNUJrDf.png

圖 重大漏洞

Godist 02/10 18:56https://i.imgur.com/Qt0H7Gd.png

圖 重大漏洞

FiseLEO 02/10 18:59樓上我竟然看得懂 777

ask865134 02/10 21:45嗯嗯嗯跟我想的一樣