February 2022

Ai cũng có lúc mắc sai lầm #3

February 22, 2022 0 Uncategorized

Tl;dr: Chiếm quyền admin một trang nội bộ của một mạng xã hội bằng social engineering.

Mình là người rất thích đồ công nghệ, máy tính, màn hình, điện thoại,… các thứ. Nhưng mà sau một thời gian “chạy đua” sắm đồ công nghệ, mình nhận ra mình đang làm chuyện vô nghĩa, tốn tiền vô ích. Một cái điện thoại mới, máy tính mới chỉ làm ta vui vài ngày, rồi lại chán. Đồ công nghệ mạnh thật đấy, nhưng đôi lúc nhu cầu ta không đến mức đó, chỉ cần vừa đủ. Nghĩ được như thế rồi nhưng mình vẫn không bỏ thói quen lướt các trang tin công nghệ khoảng 10-15 phút mỗi ngày, lướt không phải để mua mà chỉ để đọc thêm tin tức, biết thêm nay có chip gì, hãng A có công nghệ gì mới, hãng B có tai nghe gì hay,…

Một ngày đẹp trời, vẫn như thói quen đọc tin tức hàng ngày trên một trang mạng xã hội của Việt Nam, mình bắt gặp một video khá thú vị, video giới thiệu một bộ sản phẩm của hãng L, nghe bảo giá lên tới $5000. Mình cũng đang dùng đồ của hãng này, nên click vào xem review. Xem khoảng chừng gần 02 phút thì mình phát hiện một thứ có vẻ hay ho. Đây là screenshot lúc đó:

Tinh ý thì bạn sẽ thấy anh này đang dùng ứng dụng nhắn tin T ở bên trái, và có vẻ anh ấy dùng Saved messages để take note: gửi file, gửi preview, gửi bookmark link…; còn bên phải là một trang web. URL trong thanh chat khá rõ, nên mình pause video lại rồi gõ URL đó thử vào browser. Đây là giao diện trang web sau khi mình gõ vào và nhấn Enter:

Chắc nhiều người cũng đồng ý với mình rằng bất kỳ việc gì, nếu ta làm đủ nhiều thì ta sẽ hình thành được một cái “sense” nhất định. Mình làm trong ngành này cũng được vài năm, bắt đầu từ việc tò mò về password, nên may mắn có “sense” “đánh hơi” được password khá tốt. Mình đoán cái dòng dưới URL là password, khá chắc chắn.

Nhưng để login được thì còn cần email. Đây là lúc social engineering phát huy tác dụng. Mình theo dõi diễn đàn/mạng xã hội này đủ lâu để có thể biết được quy cách đặt email của họ. Thay vì dùng họ tên thì họ dùng nickname, may mắn là mình cũng theo dõi đủ lâu để biết được nickname của một số admin, moderator. “Thử và sai” – may mắn mình đúng ngay lần đầu thử:

Mình có tìm hiểu sơ qua thì biết được ứng dụng Metabase này là một ứng dụng dạng BI (Business Intelligence), cho phép chia sẻ data và analytics trong tổ chức. Người dùng có thể “Ask a question” – Metabase có một thứ gọi là question builder – dựa trên các câu truy vấn dựng sẵn. Hoặc người dùng cũng có thể tự truy vấn SQL bằng SQL editor. Tài khoản mình vào được, may mắn là tài khoản admin, có quyền cao nhất. Từ đó mình có toàn quyền truy vấn vào cơ sở dữ liệu (nội bộ) của diễn đàn/mạng xã hội này.

Để chứng minh impact thì mình có chụp tấm hình này gửi cho admin của diễn đàn:

Sau khi nhận được report nhanh của mình thì admin cũng nhanh chóng đổi password, rà soát lại server, và tất cả những gì mình nhận được sau khi report là một câu cám ơn:

Nói chung thì mình cũng không đòi hỏi gì cả, mình vẫn report từ thiện như vầy rất nhiều lần, có đôi khi lời cám ơn còn không được nhận. Mình tin là ở hiền gặp lành, cứ làm việc tốt, mình thấy vui là được. Hi vọng có bạn đọc nào đọc được bài này, và cũng bắt đầu “report từ thiện” giống mình – nếu có vô tình thấy được lỗi – để giúp thêm được một cá nhân/tổ chức nào đó tự bảo vệ được mình trong cái thế giới internet càng ngày càng loạn lạc này. Nếu có bug bounty program thì tốt, không thì thôi, gửi cho họ một cái email báo lỗi đàng hoàng, chắc họ cũng không bỏ qua.

Nếu các bạn nghĩ bài viết này có ích thì có thể mời mình một ly cà phê, hoặc tạo thêm động lực viết bài cho mình bằng cách giúp mình duy trì blog qua PayPal hoặc MoMo. Chân thành cám ơn lòng tốt của mọi người.

Happy hacking!