元宝类漏洞:原理与封堵
元宝漏洞多源于脚本逻辑缺陷或插件后门,核心在于GAMEGOLD命令被非法调用。
脚本逻辑漏洞
漏洞原理:利用行会招募、二级密码等NPC的输入框,配合封包工具重复触发QF脚本中的元宝增加代码。或利用双击触发物品(StdMode=31)编号重复,双击普通物品触发元宝脚本。
修复方案:
1. 清理危险NPC:删除行会招募NPC中的“招募队员”输入功能,删除或重写二级密码NPC脚本。
2. 字符过滤:在M2Server的FilterStr.txt或“用户过滤字符列表”中添加@招募 @ @@ InPutString CallInPutString等关键词,阻断非法输入。
3. 脚本加固:对所有涉及元宝增加的脚本段(如回收、兑换)增加条件检测。例如,回收脚本必须先检测背包是否有对应装备,再执行GAMEGOLD +命令,否则视为封包攻击并记录日志。
插件与文件后门
漏洞原理:服务端目录下的IPLocal.dll、QW.DB等插件文件被篡改,内含远程控制或直接刷元宝的代码。
修复方案:
1. 打开MirServer\Mir200\!Setup.txt,删除或注释PlugDir=.\插件路径指向。
2. 全盘搜索并删除IPLocal.dll、iplist.db、QW.DB等可疑插件文件。
3. 清空PlugList.txt文件内容,确保M2启动时不加载任何未知插件。
权限类漏洞:排查与清除
权限漏洞通常导致玩家非法获得GM身份(Level 10),需重点检查命令权限设置。
命令权限配置错误
漏洞原理:M2引擎的“管理命令”中,制造物品、调整等级等命令的“所需权限”被误设为0(即普通玩家权限)。
修复方案:
1. 打开M2 → 选项 → 游戏命令 → 管理命令。
2. 逐一检查每个命令的“所需权限”,确保所有管理命令权限至少为1(建议10),严禁设为0。
脚本自动提权后门
漏洞原理:在QManage.txt(登录脚本)或UserCmds.txt(自定义命令)中隐藏CHANGEPERMISSION(调整权限)或CHANGEMODE(调整模式)代码,玩家输入特定命令即自动升为GM。
修复方案:
1. 在服务端Envir目录下全局搜索关键词CHANGEPERMISSION、CHANGEMODE、AddTextListEx .\AdminList.txt。
2. 删除所有非管理员可控的权限变更脚本,特别是QFunction-0.txt中的公共触发段。
3. 手动检查AdminList.txt(GM名单文件),清除未知账号。
登录器与引擎后门
漏洞原理:部分第三方登录器配置器勾选了“自动GM”选项,或引擎存在调试模式漏洞,导致新创建角色自动拥有权限。
修复方案:
1. 重新生成登录器,取消配置工具中所有“自动GM”、“测试模式”勾选。
2. 更换为纯净版引擎程序,更新至稳定版本,避免使用破解版或魔改版M2Server。
开区前终极检测清单
在正式对外开放前,请务必执行以下操作:
1. 全局搜索:在脚本目录中搜索GAMEGOLD、CHANGEPERMISSION,人工审核每一处调用逻辑。
2. 清理插件:删除MirServer下所有非必要的DLL插件,清空插件列表。
3. 重置配置:在M2中重置管理员列表,检查命令权限,删除测试账号。
4. 日志开启:在M2中开启所有日志记录选项,便于事后追溯异常元宝来源。
