vi
new
+20
Avatar
qua bong bay @quabongbay
298 17 2
Đã đăng vào thg 10 9, 2022 2:35 CH 3 phút đọc
2.4K

Hack máy chủ lừa đảo

Ngữ cảnh

Tôi được một tin nhắn mời tham gia việc nhẹ lương cao trực tuyến, đang thất nghiệp nên tôi vào kết bạn. Sau một thời gian tìm hiểu biết đây là lừa đảo nên tôi quyết định tấn công máy chủ này. Toàn bộ quá trình tìm hiểu và chi tiết chiêu trò lừa đảo tôi để ở youtube , ở đây tôi xin đi sâu hơn vào kỹ thuật.

Thu thập thông tin

Máy chủ deploy ở Zenlayer co data center ở Hà Nội và HCM location

Frontend viết bằng vuejs template của China frontend

Payload gửi và nhận từ vue được encrypt encrypt

webserver là Tengine là được viết lại dựa theo nginx bởi taobao

Phương thức tấn công

Đa số lừa đảo muốn ăn nhanh lẹ nên quá trình đăng ký tài khoản rất nhanh và ít có các phương thức xác thực, nên lựa chọn tấn công DDoS là ưu tiên của tôi. Tôi thử đăng ký số diện thoại 0000000001 cũng được.

Giờ là lúc tạo payload: cách encrypt chắc nằm đâu đó trong đống JS đã bị minify và obfuscate, chuyện đó không khó với chrome (cám ơn google), bạn có thể tạo breakpoint debug trước lúc frontend gửi request để truy ngược lại. Hàm setT tuy để trong file tên là zepto.all.js - một thư viện hỗ trợ ajax tuởng vô thưởng vô phạt nhưng lại call hàm encrypt options.data=g.d.e(keyWords,JSON.stringify(options.data)); Screen Shot 2022-10-09 at 19.46.45.png

Keywords chính là key để mã hoá cũng được lưu tại đây Screen Shot 2022-10-09 at 19.49.51.png

g.d.e() là hàm encrypt với cách viết hy vọng làm nản lòng người đọc. Screen Shot 2022-10-09 at 19.54.36.png

Tôi copy đoạn setT và các dependency ra và test thử single request, mọi thứ ổn tôi deploy một nodejs đăng ký random 1000 tài khoản rồi cho pm2 start lại process mãi mãi. Server nghẽn, bảo trì rồi nó chặn IP nodejs của tôi, tôi dùng tor để luân chuyển IPs, sau đó nó chỉ cho đăng ký 3 tài khoản cho 1 IP. Tôi tìm ra endpoint nạp tiền nó không chặn, nó lại bị đơ tiếp nhưng sau một thời gian nó chặn 1 dải blockIP cho tất cả endpoint.

F73B6B3A-7C05-47DE-B7AE-326FC53471D2_1_105_c.jpeg

Sau một thời gian quay lại thăm, nó không chặn nữa !? Tôi đoán nhóm bảo trì hệ thống này làm việc không có version control, lần deploy gần đây nhất đã xoá công sức của người trước. Nhóm lừa đảo làm việc khá cục bộ, người của bộ phận này thường không biết bộ phận khác làm gì, cách tổ chức này không hiệu quả về mặt công việc nhưng khá an toàn cho chóp bu. Xin cảm ơn các bạn đã đọc, lần tiếp theo tôi sẽ tiếp cận nhóm lừa đảo tinh vi hơn.

References

ddos JavaScript

All rights reserved

Mục lục


Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí