Bài đăng

[ Writeup - Bugbounty Facebook ] Disclosure the verified phone number in Checkpoint.

Hình ảnh
In the free night, I often spend time on reading the big tech companies ‘s requests.On that day, while i was reading Facebook’ requests, my test account was received a checkpoint ( Verify phone number ).

After verifying my account, i just realized that i hadn’t turn off Burp Suite. When i had a look at requests again i saw these.

I could see my phone number in these requests. Should i send this case to Facebook?. Because I sent a lot of cases uploaded to triaged, but a few days later I received a notification that I was a latecomer.-_-.
However, if we can see what is not authorized, it is an error! So just report it.
20/8 - My report was sent.
23/8 - Facebook asked that would this case affect to users or interfere with Facebook's infrastructure?
- I have nothing to say, because it’s so obvious.
23/8 - I reported this problem again with a detailed explanation.
26/8 - Facebook ‘s answer is NO! This is not a flaw, so you wouldn’t get any money from us.
- I'm fine. Ok, stop explaining.

05/9…

[ Writeup- FB ] Tiết lộ số điện thoại xác minh trong Checkpoint.

Hình ảnh
Những buổi tối rảnh mình thường bỏ thời gian ra đọc request các ông lớn. 
Hôm đấy mình đang đọc request của Facebook thì tài khoản test của mình bị checkpoint ( Xác minh số điện thoại ).

Xác minh xong mình mới để ý là mình chưa tắt Burpsuite. Mình vào đọc mấy cái request lúc này thì thấy.

Mình có thể xem được số điện thoại của mình trong các request  đó. Tới đây mình nghĩ có nên gửi case này cho Facebook không?. Vì mình từng gửi nhiều case được lên triaged tuy nhiên vài ngày sau mình nhận được thông báo là người đến sau. -_-.
Tuy nhiên mình xem được cái không xem được thì nó là lỗi thôi thì cứ gửi case tính sau.
20/8 - Báo cáo gửi 23/8 - Facebook hỏi điều này có làm ảnh hưởng gì tới người dùng hay can thiệp vào cơ sở hạ tầng của Facebook không? - Lúc này mình Đe* biết nói gì luôn rõ ràng thế mà  23/8 - Mình gửi vấn đề một lần nữa kèm lời giải thích chi tiết. 26/8 - Facebook trả lời không cái này méo phải lỗ hổng vì thế mày méo nhận được tiền từ tụi tao. - Mình lúc này Ok không thì thôi, giải th…

Tôi đã hack thành công hơn 700 website trong 10 phút

Hình ảnh
Ngày chủ nhật không có gì làm nhớ lại mấy cái domain scam ở bài trước mà tôi chiếm được từ bọn tricker Facebook ( xin lỗi các bạn tricker chân chính nhé chứ tôi không biết diễn tả bọn này là gì ). 


Tôi đăng nhập vào cpanel lướt lên xuống cũng chả còn gì ngoài cái file index tôi sửa lại để chọc chúng nó vì bọn nó đã bỏ luôn web rồi. 😤
Nghĩ một hồi tôi thử reverse ip của cái domain này thử xem còn web scam nào nằm cùng server không. 
Chà, tận 728 domain trên cái server này ban đầu tôi dự định chỉ tìm vài trang scam nick game hay facebook để tôi nghịch thôi nhưng khi thấy có nhiều domain EDU.VN trên server nên tôi định kiểm tra xem tôi có thể chiếm được toàn bộ domain trên này bằng Local Attack không. 

Lúc này tôi nghĩ tới cái thời gian một năm trước tôi nghịch một list web của cụ manhh***comp*ter ra đi, thì có vài người bảo tôi cẩn thận nhưng tôi nghĩ việc tôi làm là đúng nên kệ😤. Tuy nhiên lần này việc tự pentest web người khác cũng không quá hay nên tôi suy nghĩ để tránh về lại team ngự…

Phishing facebook cũ nhưng vẫn nguy hiểm.

Hình ảnh
Hôm nay được ngày rảnh hóng hớt trong các group thì mình thấy nhiều cmt spam trong các post ở các group mình đang tham gia.




Quyết định click vào link thì mình đã nghĩ  sẽ có 2 trường hợp xảy ra: 
Có 1 tập tin  .exe sẽ được down về máy hoặc được redirect  sang một trang phishing có dạng facebook hoặc gmail.

và mình đã đúng 1 trong 2 trường hợp trên.




Domain : xxx.duckdns.org ( mình sẽ gọi tắt đây là X ) .
Đến đây thì mình đã kết luận được X là một trang Phishing, nhờ với tiêu đề nhạy cảm kèm  thumbnail "hấp dẫn", thì chắc sẽ có nhiều người dính bẫy của X.



Phishing là gì?Phishing ( Tấn công giả mạo ) là việc xây dựng những hệ thống lừa đảo nhằm đánh cắp thông tin nhạy cảm, như tên đăng nhập, mật khẩu hay thông tin về các loại thẻ tín dụng của người dùng. Phishing xuất hiện như một thực thể đáng tin cây, một trang Facebook, eBay, Paypal, Gmail hay các ngân hàng trực tuyến là nhưng mục tiêu hướng đến của hình thức tấn công này.
Phân tích chi tiết.

Mình bắt đầu view-source của X thì mình…