哈哈哈，喜闻大三亿特大漏洞，出了个强登所有 CF 号外挂

“使用方法：登录外卦账号后，输入你想上的游戏 QQ ，直接上游戏就行！” 6666

确实存在的漏洞 但是作者貌似已经被抓了

对 CF 的唯一印象就是抄袭 CF 。

嘿! 你们看到没, 那作者用易语言写的. 看样子搞外挂几乎都用易语言的嘛!

一个小时赚了 80 万.

@BikeMan 因为易语言有很多线程的模块很牛逼，比如过 TX 检测模块什么的，直接调用，就能过检测了。 666

@est 你说的 CF 抄袭 CF 抄袭的果然强大 我看了半天没看出区别在哪

为什么不去弄 LOL 强登，这样赚的绝对比 CF 多啊

@popok 这就是生态系统啊。。

今天学习到一个新词汇： WPE 拦截。。。

ㄒoㄒ 我挚爱的大 CF ，居然被爆这么大漏洞

好强大的漏洞，腾讯这安全保护看起来是屎啊

腾讯这波亏惨哈哈哈哈

是不是意味着哪怕我开挂，也可以去申诉说别人强登我号开的

@49 你可以这么说，但是估计你的数据会被回档

有程序员要背锅了...应该是临时工

腾讯是吃屎的吗

腾讯真是没谁了

作为一个敢于面对自己黑历史的好孩子，我承认八九年前我确实是玩过 CF 的，从 CF 刚刚出来的时候就开始外挂满天飞了，各种透视无后坐力飞天遁地什么的， WPE 和易语言更是见多了。。。没想到这么多年过去了，还是这个样。。

大厂风范

网络漏洞真是层出不穷，不管是多大的厂家都会有漏洞，云服务还是慎用，慎储存。

这必须是程序员的错呀

6666 , 我可是一名黄金代练

打脸啪啪啪

腾讯好像只是拿了代理权，游戏是韩国开发的。

wpe 抓封包这种东西当年石器时代刚火的时候就有大神玩的 6666 了。。。

3 月 11 日，夹江县公安局网安大队接到湖南桑植县公安局网安大队通报，有游戏玩家向他们报警，称使用了从网络上买到的“ CF 战神”游戏外挂 辅助软件，结果游戏被官网封号了。

这都能报警...

@xuhaotian 登录那块应该还是 TX 自己做的

登陆鉴定怎么搞得？
没做鉴定还是密钥被人爆解了？

坐等大神解释原理~~

@gamexg
这是代理游戏，然后不用原生的登陆，使用 QQ 登陆，腾讯自己做的统一登陆，但是设计的比较渣，同步的 hash 算法被搞明白了……
直接按照算法把自己模拟成某个 QQ 已验证通过发送到游戏核心服务器

@realpg 难道不是签名=hash (数据+密钥)，而是直接 签名=hash 算法(数据)？

或者密钥被爆解了？立刻更换密钥至少能暂时阻止强登，但是看情况到目前还未解决...

腾讯其他的统一登陆不知道是不是有同样的问题，要是都被强登了才好玩。

@gamexg
具体细节我也不清楚，清楚我也去卖外挂去了……
很多内部业务系统，不对外的，没有对外提供公共服务那么强的安全级
比如某大厂的一些内网系统的 API 连认证都没有，你能知道这个 URL 接口以及调用方式就行……

为什么叫大三亿？ “三亿鼠标的枪战梦想”吗？

哟，大厂的算法设计，怎么招聘进去的？

@est 第一反应是你把 CS 打成了 CF …想了半天才反应过来…

@1023400273
@gamexg
@realpg
以前大概的看过他的登录方式，好像是前台登录完，或得到一串 hash ，然后把这串 hash 当做参数，运行游戏的。
原来在 Windows 任务管理器的进程栏可以看到 cf 主程序后面就带着一长串 hash ，应该就是和账户数据相关的东西

@popok 我也一直好奇为什么很多外挂都是拿易语言写的，原来是有很多好用的库。很好奇，想请问"过 TX 检测模块“这种都是谁写的，为什么要开放？另外维护代价也不小吧，因为 tx 检测模块也在不断迭代。

@hitmanx 现在这种东西应该都要钱吧。我记得原来有个修改内存的模块，直接拿来用，就能改 CF 的内存值，还过检测，你自己用 c 或者别的写，需要很多基础知识，用易直接搞定了。

这个霸气啊
btw ， 3L 说的是抄袭 CS Online 的吧