【严重问题】关于CO I查询插件直接获得创造模式的后门

我不清楚是漏洞还是后门，玩家可以利用COI插件获取创造权限

今天服务器里面来了两个熊孩子，具体命令如下

Line 555546: 2014-08-21 07:38:06 [INFO] ZF_LG issued server command: /co l Myhone
Line 555550: 2014-08-21 07:38:13 [INFO] ZF_LG issued server command: /Myhone 5
Line 555552: 2014-08-21 07:38:21 [INFO] ZF_LG issued server command: /co l Myhone 5
Line 555558: 2014-08-21 07:38:42 [INFO] [[0;37;1m失落大陆[0;37;1m][m<[0;36;22mZF_LG[m> 不能[m
Line 557699: 2014-08-21 07:39:40 [INFO] [[0;37;1m失落大陆[0;37;1m][m<[0;36;22mZF_LG[m> - -[m
Line 557703: 2014-08-21 07:39:51 [INFO] [[0;37;1m失落大陆[0;37;1m][m<[0;36;22mZF_LG[m> 作死[m
Line 557709: 2014-08-21 07:40:16 [INFO] [[0;37;1m失落大陆[0;37;1m][m<[0;36;22mZF_LG[m> - -[m
Line 557712: 2014-08-21 07:40:43 [INFO] ZF_LG issued server command: /co l u:Myhone a:command t:5d
Line 557717: 2014-08-21 07:40:55 [INFO] ZF_LG issued server command: /co l 2
Line 557719: 2014-08-21 07:40:58 [INFO] ZF_LG issued server command: /co l 3
Line 557721: 2014-08-21 07:41:03 [INFO] ZF_LG issued server command: /co l 446
Line 557726: 2014-08-21 07:41:16 [INFO] ZF_LG issued server command: /co l 445
Line 557728: 2014-08-21 07:41:29 [INFO] ZF_LG issued server command: /co l u:Myhone a:command t:50d
Line 557731: 2014-08-21 07:41:35 [INFO] ZF_LG issued server command: /co l 1
Line 557733: 2014-08-21 07:41:43 [INFO] ZF_LG issued server command: /co l 599
Line 557741: 2014-08-21 07:42:01 [INFO] ZF_LG issued server command: /co l 558
Line 557745: 2014-08-21 07:42:20 [INFO] ZF_LG issued server command: /co l 557
Line 557747: 2014-08-21 07:42:27 [INFO] ZF_LG issued server command: /co l 1
Line 557750: 2014-08-21 07:42:31 [INFO] ZF_LG issued server command: /co l 2
Line 558132: 2014-08-21 07:45:16 [INFO] ZF_LG issued server command: /fly
Line 558133: 2014-08-21 07:45:16 [INFO] §cZF_LG §4被拒绝使用命令
Line 558136: 2014-08-21 07:45:20 [INFO] ZF_LG issued server command: /dick
Line 558137: 2014-08-21 07:45:22 [INFO] ZF_LG issued server command: /nick
Line 558140: 2014-08-21 07:45:26 [INFO] ZF_LG issued server command: /nice
Line 558143: 2014-08-21 07:45:33 [INFO] ZF_LG issued server command: /v
Line 558144: 2014-08-21 07:45:33 [INFO] §cZF_LG §4被拒绝使用命令
Line 558296: 2014-08-21 07:46:42 [INFO] Myhone issued server command: /gm 1 ZF_LG

复制代码

上面是所有有关于这个玩家的命令
从命令上看起来

这个叫做ZF_LG的玩家可以利用COI的权限
【我的服务器只给玩家COI查询命令这个权限】
具体漏洞方法我并不知情
Myhone是服务器OP账号

目前只需要获得服务器OP的账号名字，就直接可以利用coi插件的后门直接从后台调用管理员账号
后台输入指定的命令

这个熊孩子利用漏洞刷出了大量的违禁物品，因为服务器是格雷服
他刷出了大量的反物质机器跟IC的机器

还可以直接获取rpgitem里面的物品，我的服务器已经受到了不同程度的破坏
请各大腐竹注意，BUG没有修复之前，千万不要给玩家COI权限，我服务器内COI插件已删除

回复: