Nex-AC Exploit

Fr0z3n wrote on December 28, 2021, 11:17 pm:

Skinite zadnju verziju nex-ac: https://github.com/NexiusTailer/Nex-AC/blob/master/CHANGELOG.md

"Fixed a bypass in anti-dialog crasher when some forbidden characters were combined with each other"

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

Upozorenje: U koliko na vašem serveru u zadnje vreme igrači počinju da "magično" crashaju, pročitajte ovaj post!

Decembra 13. je otkriven novi exploit u poznatom anticheat inkludu koji moze biti poguban za vas server
Nex-ac(1.9.57) - https://github.com/NexiusTailer/Nex-AC

"Rupa" je pronadjena u sistemu filtriranja nevazecih znakova u dijalogu. Trenutno napad utice na sve servere koji koriste gore navedeni include.

Šta može da naškodi serveru? Ovaj exploit omogucava bilo kom igracu da srusi igrace koji su u blizini, srusi celu administraciju itd...
Do rušenja/crasha dolazi zbog nevazecih GXT linija.
Vise o njima možete pročitati ovde: https://gtamods.com/wiki/GXT

Da biste srušili igrače u vašoj blizini, potrebno je da skinete odredjeni binder koji vam necu dati da ovo ne bi iskorištavali u loše svrhe, ubacite ovaj text "% ~% k% ~% ~ SWITCH_DEBUG_CAM_ON% ~" u dijalog i posaljete. Ovo se može izvrsiti i sa ostalim dijalozima na primer, reportom, opisom karaktera itd... Nakon slanja ovog teksta, igra se zamrzava/crasha svim igracima koji su bili u okolini. Takodje ovo može da se koristi za izbacivanje cele administracije/supportera/celog servera(u nekim slucajevima) komandama kao što su /Report, /askq, /smsad, /oglas...

Testirao sam sinoc ovaj exploit na jednom od najvecih servera na balkanu i uspelo je!

Ovaj exploit ne radi na mobilni verzijama.

U koliko neko uspe da fixa ovaj Exploit neka mi pošalje u dm, rado cu da updateam post i pomognem ostalim serverima da reše ovaj problem...

Još uvek je teško ostalim igracima da koriste ovaj exploit zato sto se na nekim serverima drugacije koristi ali je princip isti, verujem da za nedelju-dve ce biti svuda po internetu, tako da vam savetujem da požurite sa fixanjem da ne bi došlo do zatvaranja na nekoliko dana kao kod najveceg lanca SAMP servera na svetu(Arizona RP).

Update:

U koliko server zameni karaktere sa #, obrišite %.

Exploit: https://ibb.co/CHXRmsy

"ukoliko" je jedna rec... Dalje necu ni da citam

Uvideo sam gresku jos sinoc ali ne mogu da editujem.

PazzOnee wrote on December 25, 2021, 3:25 pm:

"ukoliko" je jedna rec... Dalje necu ni da citam

Kakve veze gramatička greška ima sa ovim? Ne piše knjigu ili članak za novine...

'xza wrote on December 25, 2021, 6:35 pm:

Kakve veze gramatička greška ima sa ovim? Ne piše knjigu ili članak za novine...

Tako je obuci ovog kvazi skriptera

Jel ovo problem sa nex-ac samo ili je problem sa samp-om uopsteno? Posto meni ovo izgleda kao sa-mp exploit a ne bug izazvan od strane nex-ac
Kad si vec post fix, a 0day je prosao mogao bi i source ili makar nacin na koji radi da post. Meni ovako nema smisla kako radi na taj nacin, da si napisao da je to za chat, onda bih rekao ok, on se sync sa ostalim igracima na neki nacin. Ali dialog input po ideji zavrsava na serveru i ne ide dalje...Tako da tu jedino ako se desio neki overflow ili jos kakvo sranje pa se poziva nesto sto ne bi smelo zbog toga (mada server bi crash verovatno ali ajde...)

Recimo da si ukucao komandu /report, upises taj text u input dialogu, taj tekst se posalje svakom administratoru koji je trenutno na serveru i crasha, takodje moze da se radi i sa oglasima koji izlaze u chat svim igracima, ali samo ako je u pitanju InputDialog...

'xza wrote on December 25, 2021, 6:35 pm:

Kakve veze gramatička greška ima sa ovim? Ne piše knjigu ili članak za novine...

Sta fali malo da se nauci i da pise? Je l bi skodilo, 99% nepismeni ko tocak

Fr0z3n wrote on December 25, 2021, 10:49 pm:

Recimo da si ukucao komandu /report, upises taj text u input dialogu, taj tekst se posalje svakom administratoru koji je trenutno na serveru i crasha, takodje moze da se radi i sa oglasima koji izlaze u chat svim igracima, ali samo ako je u pitanju InputDialog...

Aha, znaci ipak server mora da sync taj input na neki nacin sa ostalima. Znaci mora biti send client message koji koristi taj input u sebi na neki nacin. To vec malo vise ima smisla (iako jos uvek imaju neodgovorena pitanja).
Dobro to vec lici nesanirani user input sto je u stvari standardno da se radi. U sustini moja predpostavka je da se radi o TD-ovima koji prikazuju oglase i obavestenja adminima, pa u stvari TD-ovi crashuju kliente (mislim poznati su po tome uvek bili 😄 )
Nista sad je malo jasnije, u sustini treba sanirati user input svugde pre nego sto ga koristis...

PazzOnee wrote on December 25, 2021, 11:45 pm:

Sta fali malo da se nauci i da pise? Je l bi skodilo, 99% nepismeni ko tocak

Pa ti možeš ukazat na grešku, ne kažem ja to, ali "ukoliko" je jedna rec... Dalje necu ni da citam, ne čitaš knjigu pa da kažeš ee ovo ima gramatičku grešku, neću ni da čitam

Ja ipak mislim da je ovo sa-mp exploit jer sam prije 2-3 god ovako uspijevao oboriti server..

MirsoN wrote on December 26, 2021, 3:06 pm:

Ja ipak mislim da je ovo sa-mp exploit jer sam prije 2-3 god ovako uspijevao oboriti server..

Moguce da je bio pa su ga fixali, samo radi kada imas Nex-Ac...

Fr0z3n wrote on December 26, 2021, 3:11 pm:

Moguce da je bio pa su ga fixali, samo radi kada imas Nex-Ac...

Ja znam da su koristili u DialogResponse zabranu znaka % i rijeseno bilo

Procitaj gore, napisao sam da ako server zameni % sa #, obrisite % i radice...