Auth Exploit Fix 1.1.3

[Templar]

@gotgame, Попробую , спасибо

 

[DeathScore13]

крч, этот текст генерит см и, соответственно, поддерживаются все игрушки где можно использовать GetClientAuthString и GetClientAuthId (а использовать их можно во всех):

sourcemod/core/logic/smn_players.cpp at 1fbe5e1daaee9ba44164078fe7f59d862786e612 · alliedmodders/sourcemod

SourceMod - Source Engine Scripting and Administration - alliedmodders/sourcemod

github.com

и исходя из кода, проверку можно сократить до
if (!GetClientAuthId(...)) // ...

Сообщения автоматически склеены: 30 Мар 2023

public void OnClientPutInServer(int client)
{
    if (!GetClientAuthId(client, AuthId_Engine, view_as<char>({0}), 0))
        KickClientEx(client, "Ваш SteamID не прошёл валидацию, попробуйте переподключиться");
}

вот и вся суть фикса, собсна

Сообщения автоматически склеены: 31 Мар 2023

через GetClientAuthId можно, кстати, добиться постоянный высер STEAM_ID_STOP_IGNORING_RETVALS, где будет возвращён true: GetClientAuthId(client, view_as<AuthIdType>(4), view_as<char>({0}), 0);.
да-да, нужно всего лишь подсунуть невалидный AuthIdType

Сообщения автоматически склеены: 31 Мар 2023

а ещë я думаю что вместо явного GetClientAuthId можно использовать IsClientAuthorized. но это не точно, лучше проверить

Сообщения автоматически склеены: 31 Мар 2023

и лучше вместо кика попробовать выполнить ClientCommand(client, "retry");. это автоматически переподключит игрока, но может работать не во всех играх, нужно проверять

 

[xyligan]

крч, этот текст генерит см и, соответственно, поддерживаются все игрушки где можно использовать GetClientAuthString и GetClientAuthId (а использовать их можно во всех):

sourcemod/core/logic/smn_players.cpp at 1fbe5e1daaee9ba44164078fe7f59d862786e612 · alliedmodders/sourcemod

SourceMod - Source Engine Scripting and Administration - alliedmodders/sourcemod

github.com

и исходя из кода, проверку можно сократить до
if (!GetClientAuthId(...)) // ...

Сообщения автоматически склеены: 30 Мар 2023

public void OnClientPutInServer(int client)
{
    if (!GetClientAuthId(client, AuthId_Engine, view_as<char>({0}), 0))
        KickClientEx(client, "Ваш SteamID не прошёл валидацию, попробуйте переподключиться");
}

вот и вся суть фикса, собсна

Сообщения автоматически склеены: 31 Мар 2023

через GetClientAuthId можно, кстати, добиться постоянный высер STEAM_ID_STOP_IGNORING_RETVALS, где будет возвращён true: GetClientAuthId(client, view_as<AuthIdType>(4), view_as<char>({0}), 0);.
да-да, нужно всего лишь подсунуть невалидный AuthIdType

Сообщения автоматически склеены: 31 Мар 2023

а ещë я думаю что вместо явного GetClientAuthId можно использовать IsClientAuthorized. но это не точно, лучше проверить

Сообщения автоматически склеены: 31 Мар 2023

и лучше вместо кика попробовать выполнить ClientCommand(client, "retry");. это автоматически переподключит игрока, но может работать не во всех играх, нужно проверять

Видимо будет обнова

 

[DeathScore13]

Видимо будет обнова

вообще, там чел с первой страницы обсуждения неплохой вариант предложил с проверкой "буквенного" стима. но лучше сделать так вместо проверки на 0 и 1:

public void OnClientPutInServer(int client)
{
    if (IsFakeClient(client))
        return;

    char buffer[8];
    GetClientAuthId(client, AuthId_Steam2, buffer, sizeof(buffer));
    if (buffer[6] < '0' || '9' < buffer[6])
        KickClientEx(client, "Во время авторизации произошла какая-то ошипка, попробуйте переподключиться");
        // либо прошлое закомментировать и снять комментарий со следующего (менее надёжно, т.к. выполняется клиентом):
        //ClientCommand(client, "retry");
}

 

[xyligan]

Учёл все выше вышенаписанные замечания и рекомендации, проверяйте, если всё нормально, выложу как обновление.

 

[gotgame]

Учёл все выше вышенаписанные замечания и рекомендации, проверяйте, если всё нормально, выложу как обновление.

А исходник можно?))

 

[DeathScore13]

А исходник можно?))

дак через lysis можно посмотреть

УПД: нет, не можно. проказник воспользовался новыми опкодами, которые lysis не переваривает (собрано на 1.11-1.12).
могу декомпильнуть за сотку, но кот может быть не 1 к 1 (логика не изменится), да и смысла в этом нет, раз плагин бесплатный.

Спойлер: спойлер

код из этого сообщения, но сообщение кика вынесено в квары + проверяет игроков после подгрузки

 

[gotgame]

дак через lysis можно посмотреть

УПД: нет, не можно. проказник воспользовался новыми опкодами, которые lysis не переваривает (собрано на 1.11-1.12).
могу декомпильнуть за сотку, но кот может быть не 1 к 1 (логика не изменится), да и смысла в этом нет, раз плагин бесплатный.

Спойлер: спойлер

код из этого сообщения, но сообщение кика вынесено в квары + проверяет игроков после подгрузки

o_O а что исходник теперь секрет? Он так то был, мы тут все решения советовали)) Просто я все плагины сам компилирую из исходников, параноик так сказать + код ревью))) Ладно подожду автора мб и выложит, а за сотку декомпилить спс не нужно могу и сам все советы из темы в доступный исходник воткнуть))) Просто хотел посмотреть что именно изменилось с прошлых версий.

 

[Grey83]

собрано на 1.11-1.12

1.11.0.6931

Сообщения автоматически склеены: 2 Апр 2023

@gotgame, можешь попробовать такой вариант

 

[idk1703]

А исходник можно?))

 

[DeathScore13]

Просто хотел посмотреть что именно изменилось с прошлых версий.

неужели так сложно посмотреть под

Спойлер

код из этого сообщения, но сообщение кика вынесено в квары + проверяет игроков после подгрузки

? я уже смотрел smx, если бы у тебя было желание, то мог бы самостоятельно доделать

могу и сам все советы из темы в доступный исходник воткнуть)))

валяй