search

HaHaWTH / AuthMeReReloaded

A fork of AuthMe with various bug fixes and new exciting features
https://modrinth.com/plugin/authmerereloaded
GNU Affero General Public License v3.0
68 stars 7 forks source link

插件的重要功能滞后,及假OP绕过 #129

Closed psoloi closed 2 months ago

psoloi commented 2 months ago

What behaviour is observed?

在登入服务器出现严重延迟,(包括不重要的失明药水效果没有)OP账户安全系统可被绕过,表现为第一次加入可快速输入登入直接绕过,第二次可快速登入绕过或时而缓慢则被拦截

Expected behaviour

解决此问题滞后问题及OP账户安全系统滞后及可绕过

To Reproduce

进行滞后测试分别为<A,B,C,D> 测试机器:CPU:赛扬-N2840 RMB:8GB 游戏地图均为无建筑完全虚空,服务端;paper-1.8.8-445,单玩家测试(客户端1.8.9-与服务器不同机器测试),Bungee最新 测试流程: 给服务器的内存是充足的,当玩家游戏界面出现地图时开始计时,当聊天框出现登入提示信息时结束 A:玩家由127.0.0.1加入 Bungee(仅AuthMeReloadBungee插件)>Auth-Limbo(在列表)>Lobby-Limbo(无插件) - 7.125s B:玩家由127.0.0.1加入 Auth-Limbo(在列表) - 6.833s C:玩家由127.0.0.1加入 Auth-Limbo(在列表) - 6.215s D:玩家由127.0.0.1加入 Bungee(仅AuthMeReloadBungee插件)>Auth-Limbo(在列表)>Lobby-Limbo(无插件) - 6.445s 关于上述实现又进行了OP账户安全系统测试(除B,C测试) 均为玩家登入后已经加入Lobby并未被踢

使用可行的IP及psoloi加入正常(120.235.125.70)(控制台:[AuthMe] psoloi logged in 120.235.125.70)(正常OP加入) 使用不可行IP及psoloi加入绕过(120.235.125.71)(控制台:[AuthMe] psoloi logged in 120.235.125.71)(假OP加入) 其安全系统延迟达9s或5s区间

Plugin list

<测试A,B>AntiWDL, HamsterAPI, AntiVoid, PlaceholderAPI, ExploitFixer, ViaVersion, LiteBans, ProtocolLib, LuckPerms, SafeNET, AuthMe, TAB, LPX, Plan

<测试C,D>AuthMe

Server Implementation

BungeeCord

Database Implementation

MySQL

AuthMe Version

最新版

Error log (if applicable)

No response

Configuration

https://paste.gg/p/anonymous/62287663cca54329a06c8bf4223399ad

HaHaWTH commented 2 months ago

Any videos? Lag problem please upload your Spark profile result link. Btw the paste link is dead.

psoloi commented 2 months ago

补充: 机器为1000M宽带的速度没有延迟问题,其次客户端等测试延迟均在49ms到32ms区间 视频等明天提供,时间太晚了

HaHaWTH commented 2 months ago

补充: 机器为1000M宽带的速度没有延迟问题,其次客户端等测试延迟均在49ms到32ms区间 视频等明天提供,时间太晚了

有没有spark profiler的链接, Timings也可

MC-XiaoHei commented 2 months ago

请检查是否开启了自动登录

psoloi commented 2 months ago

https://timings.aikar.co/dev/?id=f711f548db4a4b5c928f07473063905f 也开启了自动登入 部分视频如下

https://github.com/HaHaWTH/AuthMeReReloaded/assets/111966532/0022b0c4-1bd5-4f7b-be85-6d1670891f51

https://github.com/HaHaWTH/AuthMeReReloaded/assets/111966532/1364968c-c625-40e9-87af-024b95218140

https://github.com/HaHaWTH/AuthMeReReloaded/assets/111966532/69610bbf-6a24-4d6e-8cd1-0c6a6450fb0d

MC-XiaoHei commented 2 months ago

https://timings.aikar.co/dev/?id=f711f548db4a4b5c928f07473063905f 也开启了自动登入 部分视频如下

https://github.com/HaHaWTH/AuthMeReReloaded/assets/111966532/0022b0c4-1bd5-4f7b-be85-6d1670891f51

https://github.com/HaHaWTH/AuthMeReReloaded/assets/111966532/1364968c-c625-40e9-87af-024b95218140

https://github.com/HaHaWTH/AuthMeReReloaded/assets/111966532/69610bbf-6a24-4d6e-8cd1-0c6a6450fb0d

我猜你用了frp,导致自动登入漏洞

psoloi commented 2 months ago

确实,但自动登入为什么是漏洞?

MC-XiaoHei commented 2 months ago

确实,但自动登入为什么是漏洞?

因为自动登录依靠ip进行用户识别 你用frp所有人都是127.0.0.1,自然会绕过

psoloi commented 2 months ago

不不不,所有的隧道都开启了proxy_protocol,也使用了申请的公网IP也测试过了

MC-XiaoHei commented 2 months ago

不不不,所有的隧道都开启了proxy_protocol,也使用了申请的公网IP也测试过了

那你玩家登录的ip是正常的?

psoloi commented 2 months ago

您需要查看最上面测试中的控制台信息,所以是正常的

MC-XiaoHei commented 2 months ago

我帮你问问吧

psoloi commented 2 months ago

上面的视频我同时也更换了更好的设备测试还是这样

liangcha385 commented 2 months ago

你的其他后端服务器装载相同的authme插件了吗

liangcha385 commented 2 months ago

你的其他后端服务器装载相同的authme插件了吗

此外你的转发端是否开启IP转发

psoloi commented 2 months ago

没有装载;已开启IP转发

liangcha385 commented 2 months ago

没有装载;已开启IP转发

装上再试试是否有相同问题 此外AuthMeReloadBungee插件是配置完善的吗

MySoulcutting commented 2 months ago

可否发一下BC配置以及FRP的配置截图

psoloi commented 2 months ago

这个我发不了,这个不属于我的管辖范围

psoloi commented 2 months ago

没有装载;已开启IP转发

装上再试试是否有相同问题 此外AuthMeReloadBungee插件是配置完善的吗

是完善的,默认配置,正确配置都一样

liangcha385 commented 2 months ago

没有装载;已开启IP转发

装上再试试是否有相同问题 此外AuthMeReloadBungee插件是配置完善的吗

是完善的,默认配置,正确配置都一样

问题再次复现?

psoloi commented 2 months ago

对的,上面所以测试可以表明,一切都是插件,包括及AuthmeReload 和AuthmeReReload都进行过测试,设备也更换过,都有这个问题出现,在评论前请先查看上面的全部实验,可以肯定的怀疑是插件

在登入服务器出现严重延迟,包括不重要的失明药水效果没有,OP账户安全系统可被绕过,表现为第一次加入可快速输入登入直接绕过,第二次可快速登入绕过或时而缓慢则被拦截

liangcha385 commented 2 months ago

最开始的链接貌似挂了 我是否可以这样理解:

  1. 管理员账号登录后退出,IP记录为120.235.125.70
  2. 黑客玩家伪造管理员账号的玩家名以120.235.125.71IP进入,但因为自动登录问题导致黑客无需输入密码即可黑入管理员账号
liangcha385 commented 2 months ago

最开始的链接貌似挂了 我是否可以这样理解:

  1. 管理员账号登录后退出,IP记录为120.235.125.70
  2. 黑客玩家伪造管理员账号的玩家名以IP进入,但因为自动登录问题导致黑客无需输入密码即可黑入管理员账号120.235.125.71

如果是的话,请尝试更换为AuthMeReloadBungee插件的自动登录并在所有的后端authme插件的配置文件中启用Hooks.bungeecord选项

如果问题依旧复现,额😓

Dreeam-qwq commented 2 months ago

无法复现你所说的 登录时失明效果滞后和假op绕过 测试使用: waterfall-1.20-572, paper-1.8.8-445, AuthMeReReloaded - c4ac260, AuthMeBungee-2.2.0-SNAPSHOT

能否上传可以可以复现此issue所述问题的测试端? https://wetransfer.com/

psoloi commented 2 months ago

最开始的链接貌似挂了 我是否可以这样理解:

  1. 管理员账号登录后退出,IP记录为120.235.125.70
  2. 黑客玩家伪造管理员账号的玩家名以IP进入,但因为自动登录问题导致黑客无需输入密码即可黑入管理员账号120.235.125.71

并不是,自动登入的问题,主要是插件滞后问题,更换IP后并不会自动登入 是这样的: 假设我的朋友知道我的账户密码,则今天我没登入服务器,它能偷偷的快速使用密码绕过OP安全系统登入

这的Github真的太慢了,好卡

MC-XiaoHei commented 2 months ago

最开始的链接貌似挂了 我是否可以这样理解:

  1. 管理员账号登录后退出,IP记录为120.235.125.70
  2. 黑客玩家伪造管理员账号的玩家名以IP进入,但因为自动登录问题导致黑客无需输入密码即可黑入管理员账号120.235.125.71

并不是,自动登入的问题,主要是插件滞后问题,更换IP后并不会自动登入 是这样的: 假设我的朋友知道我的账户密码,则今天我没登入服务器,它能偷偷的快速使用密码绕过OP安全系统登入

这的Github真的太慢了,好卡

但是他都知道你的密码了(

psoloi commented 2 months ago

最开始的链接貌似挂了 我是否可以这样理解:

  1. 管理员账号登录后退出,IP记录为120.235.125.70
  2. 黑客玩家伪造管理员账号的玩家名以IP进入,但因为自动登录问题导致黑客无需输入密码即可黑入管理员账号120.235.125.71

如果是的话,请尝试更换为AuthMeReloadBungee插件的自动登录并在所有的后端authme插件的配置文件中启用选项Hooks.bungeecord

如果问题依旧复现,额 😓

所以测试的Authme插件都开启了Hooks.bungeecord !😥

psoloi commented 2 months ago

最开始的链接貌似挂了 我是否可以这样理解:

  1. 管理员账号登录后退出,IP记录为120.235.125.70
  2. 黑客玩家伪造管理员账号的玩家名以IP进入,但因为自动登录问题导致黑客无需输入密码即可黑入管理员账号120.235.125.71

并不是,自动登入的问题,主要是插件滞后问题,更换IP后并不会自动登入 是这样的: 假设我的朋友知道我的账户密码,则今天我没登入服务器,它能偷偷的快速使用密码绕过OP安全系统登入 这的Github真的太慢了,好卡

但是他都知道你的密码了(

恩,您是否了解Authme插件中有限制xx公网IP不能访问xxx账户?

liangcha385 commented 2 months ago

最开始的链接貌似挂了 我是否可以这样理解:

  1. 管理员账号登录后退出,IP记录为120.235.125.70
  2. 黑客玩家伪造管理员账号的玩家名以IP进入,但因为自动登录问题导致黑客无需输入密码即可黑入管理员账号120.235.125.71

并不是,自动登入的问题,主要是插件滞后问题,更换IP后并不会自动登入 是这样的: 假设我的朋友知道我的账户密码,则今天我没登入服务器,它能偷偷的快速使用密码绕过OP安全系统登入

这的Github真的太慢了,好卡

也就是说你认为是自动登录的延迟问题导致的安全问题?🤔

psoloi commented 2 months ago

我刚刚测试过了,自动登入不会导致滞后发生改变,也不是自动登入导致安全问题,而是插件本身滞后导致安全问题,及滞后问题

liangcha385 commented 2 months ago

我刚刚测试过了,自动登入不会导致滞后发生改变,也不是自动登入导致安全问题,而是插件本身滞后导致安全问题,及滞后问题

你确定有排除过网络因素吗

MC-XiaoHei commented 2 months ago

我刚刚测试过了,自动登入不会导致滞后发生改变,也不是自动登入导致安全问题,而是插件本身滞后导致安全问题,及滞后问题

如果你无法拿出一个能复现的方式,那么我们无能为力

psoloi commented 2 months ago

OH,上面兄弟复现步骤,上面的请看看好吗?

我刚刚测试过了,自动登入不会导致滞后发生改变,也不是自动登入导致安全问题,而是插件本身滞后导致安全问题,及滞后问题

如果你无法拿出一个能复现的方式,那么我们无能为力

机器为1000M宽带的速度没有延迟问题,其次客户端等测试延迟均在49ms到32ms区间 Waht's this? ???真的是个消灭耐心的好选择! 请询问问题时先看上面 OK?

Dreeam-qwq commented 2 months ago

OH,上面兄弟复现步骤,上面的请看看好吗?

我刚刚测试过了,自动登入不会导致滞后发生改变,也不是自动登入导致安全问题,而是插件本身滞后导致安全问题,及滞后问题

如果你无法拿出一个能复现的方式,那么我们无能为力

机器为1000M宽带的速度没有延迟问题,其次客户端等测试延迟均在49ms到32ms区间 Waht's this? ???真的是个消灭耐心的好选择! 请询问问题时先看上面 OK?

我看不懂你的"复现步骤"中 " Auth-Limbo","测试ABCD"等等东西,复现步骤不是你测试的全部过程,复现步骤是一系列描述精简的steps, 表述如何跟着你的步骤就可以再现你反馈的问题。

或者搭建一个可以复现这个问题的测试端, 并上传。比如 https://wetransfer.com/

psoloi commented 2 months ago

可以结束问题

OH,解决了,更换为H2,Mysql占了大的问题,在Authme老版本时测试了机器压测,导致数据库有近千的数据而新版的继承导致滞后,其次希望能将OP账户安全系统设置高的优先级,在登入注册前率先触发,否则如果使用Hacker中的Auto Login还是能绕过,建议像某些插件一样,将此插件的异步为最高优先级别,可以防止滞后导致问题出现

我的失误,判断不够精准

MC-XiaoHei commented 2 months ago

OH,上面兄弟复现步骤,上面的请看看好吗?

我刚刚测试过了,自动登入不会导致滞后发生改变,也不是自动登入导致安全问题,而是插件本身滞后导致安全问题,及滞后问题

如果你无法拿出一个能复现的方式,那么我们无能为力

机器为1000M宽带的速度没有延迟问题,其次客户端等测试延迟均在49ms到32ms区间 Waht's this? ???真的是个消灭耐心的好选择! 请询问问题时先看上面 OK?

哦我的上帝 但是你自始至终没有拿出一个能正常复现的步骤 所以我们能做的就是为你算一卦