Thảo Luận Kỹ Thuật Vụ BKAV Bị Hack Tất Cả Vào đây - TheNEXTvoz

• Forums New posts
• Latests Featured content New posts New profile posts Latest activity
• pik.vn

Log in Register What's new

• New posts

Menu Log in Register Install the app Install How to install the app on iOS

Follow along with the video below to see how to install our site as a web app on your home screen.

Note: This feature may not be available in some browsers.

• Forums
• Học tập & Sự nghiệp
• Lập trình / CNTT

You are using an out of date browser. It may not display this or other websites correctly.You should upgrade or use an alternative browser. thảo luậnThảo luận kỹ thuật vụ BKAV bị hack tất cả vào đây

• Thread starter Thread starter Fire Of Heart
• Start date Start date Aug 18, 2021

• 1
• 2
• 3
• …

  Go to page

  Go
• 7

Next 1 of 7

Go to page

Go Next Last

Fire Of Heart

277;67;6824839

tayto Theo nguyện vọng của các bạn Zzz như tít mời các cao thủ vô chém. Đang dùng đt lười update nội dung… mai update sau Last edited: Aug 18, 2021

BiBanMatCaiNick

Senior Member

phadaothegioiao2

Senior Member

Nên sửa tít là "BKAV bị hack tất cả vào đây"

hienthenguyen

Senior Member

Giữ chỗ! Hóng các cao nhân vào vật nhau kỹ thuật nack bekay Sent from Nokia1102 using vozFApp

health

Senior Member

Xin cái #5 ợ

Yêu em Thu Nga CN12 ptit

Senior Member

@Lập Trình Viên Số Khổ hình như chính là chunxong

Berberin

Senior Member

Chúng ta bắt đầu với raw pass chăng

Fire Of Heart

277;67;6824839

tayto

Berberin said: Chúng ta bắt đầu với raw pass chăng Click to expand...

Anh nào cho tôi cái lý do raw pass cái nhỉ, bữa anh nào def hăng lắm. Ai tag anh ấy vô hộ cái

Hoai cmn Linh

Member

Hoai cmn Linh said: đoạn query username pass đây View attachment 716678 tôi k rành bên sql alchemy hay flask nhưng thấy có vẻ vẫn là prepared statement mà nhỉ hàm đó đây View attachment 716680 anh nào làm với 2 thằng này giải thích tôi với. hay là chunxong giấu nghề đây Click to expand...

quote lại cái còm của tôi bên thớt kia anh nào rành giải thích giúp

Fire Of Heart

277;67;6824839

tayto

Hoai cmn Linh said: quote lại cái còm của tôi bên thớt kia anh nào rành giải thích giúp Click to expand...

Tag thanh niên tesla ấy

phidoi247

Senior Member

Hello các fen, tôi cũng dân dev nhưng thợ gõ thôi chứ cũng ko học rộng hiểu sâu lắm đâu nên tôi thắc mắc tí: Trong video chunxong dùng đoạn payload Code: 123456a@A' or 1=1-- để demo sqli vào bif Hiện tại hắn đã confirm là không đơn giản như vậy mà phải bypass được đoạn check regex trước Vậy với code của bif như này thì gửi payload vào như nào để chạy được sqli Mong các fen giải thích cho tôi Ông G4mm4 có gợi ý như thế này:

fkphua

Member

hoidabunko said: Nhức đầu mấy ông pass raw với ko raw quá. Đứng trên cương vị system admin, tui thấy lưu raw trên server local ko có vấn đề gì. Chỉ vấn đề sql injection ko bàn vì quá cũ, cả nước chắc mỗi kave bị, giờ server tui lưu connection string đến db có user với pass raw trên đó chặn port sql ko cho truy cập khác từ ip server đó, dựng proxy chặn đăng nhập kiểu brute force attack, lưu log.srv tui tắt login bằng password root, chỉ login bằng ssh key, nạp ssh key của mỗi người được quyền vào server lên. Sau đó ssh key của user tui bắt đặt thêm pass preshare key. Có 10 thằng hacker cũng ko hack được. Đó là trường hợp lưu raw trên local. Login bằng api thì nên mã hóa. Đơn giản ko. Đừng nghĩ it cao sang, như cái nhà mình thôi. Nhà có 1 cửa vào và cửa đó mình quản lý được là được

Quang_Tao

Member

Qntn hết until từ chối tử thần chưa? a chun k hack tiếp à? via theNEXTvoz for iPhone B

Bear Inf

Đã tốn tiền

Hoai cmn Linh said: quote lại cái còm của tôi bên thớt kia anh nào rành giải thích giúp Click to expand...

Có người trả lời rồi mà cố tình không hiểu à?

itachicitus said: Tôi cũng ko làm nhưng cú pháp kia là string interpolation của python thuần mà nhỉ, đâu có dùng prepared statement gì. Click to expand...

itachicitus

Senior Member

fkphua said: hoidabunko said: Nhức đầu mấy ông pass raw với ko raw quá. Đứng trên cương vị system admin, tui thấy lưu raw trên server local ko có vấn đề gì. Chỉ vấn đề sql injection ko bàn vì quá cũ, cả nước chắc mỗi kave bị, giờ server tui lưu connection string đến db có user với pass raw trên đó chặn port sql ko cho truy cập khác từ ip server đó, dựng proxy chặn đăng nhập kiểu brute force attack, lưu log.srv tui tắt login bằng password root, chỉ login bằng ssh key, nạp ssh key của mỗi người được quyền vào server lên. Sau đó ssh key của user tui bắt đặt thêm pass preshare key. Có 10 thằng hacker cũng ko hack được. Đó là trường hợp lưu raw trên local. Login bằng api thì nên mã hóa. Đơn giản ko. Đừng nghĩ it cao sang, như cái nhà mình thôi. Nhà có 1 cửa vào và cửa đó mình quản lý được là được Click to expand...

Lưu raw pass là sai không chỉ về bảo mật mà còn về đạo đức, vì users có xu hướng dùng chung pass cho nhiều hệ thống (kể cả dân tech). Lưu raw pass db admin có thể truy cập được tài khoản của users.

phidoi247

Senior Member

itachicitus said: Lưu raw pass là sai không chỉ về bảo mật mà còn về đạo đức, vì users có xu hướng dùng chung pass cho nhiều hệ thống (kể cả dân tech). Lưu raw pass db admin có thể truy cập được tài khoản của users. Click to expand...

đúng rồi bảng user pass phải mã hóa vào, nó là vấn đề về đạo đức còn connection string thì thôi lưu raw cũng đc chứ nhỉ, dùng user riêng cho mỗi db, sql bind về 127.0.0.1, drop port sql là cũng chặn đc rồi chứ B

Bear Inf

Đã tốn tiền

phidoi247 said: Hello các fen, tôi cũng dân dev nhưng thợ gõ thôi chứ cũng ko học rộng hiểu sâu lắm đâu nên tôi thắc mắc tí: Trong video chunxong dùng đoạn payload Code: 123456a@A' or 1=1-- để demo sqli vào bif Hiện tại hắn đã confirm là không đơn giản như vậy mà phải bypass được đoạn check regex trước View attachment 716704 Vậy với code của bif như này thì gửi payload vào như nào để chạy được sqli View attachment 716703 Mong các fen giải thích cho tôi Ông G4mm4 có gợi ý như thế này: View attachment 716705 Click to expand...

phidoi247 said: Cái waf trong con bif kia nó có chức năng lọc request, nếu data có chứa đoạn nào kiểu xss hay sqli nó chặn luôn. Hoặc ông nào bắn request liên tục nó cũng chặn Gửi từ Xiaomi MI 8 bằng vozFApp Click to expand...

Tóm lại là ông có thể show cái đoạn code trong bif nó filter sqli kiểu gì không? Tôi thấy ảnh ông đăng vẫn chỉ là cái đoạn Code: re.compile("^(?=.*[a-z])(?=.*[A-Z])(?=.*[0-9])(?=.*[!@#\$%\^&\*])(?=.{8,}$)") chứ có gì thêm đâu? Nếu có thêm thì bàn tiếp, còn tóm lại đến hiện tại thì: 1) Bypass cái regex check pass kia: dùng 123456a@A' or 1=1-- ok nhé 2) Đã có câu query sqli, nhìn tiếp vào code handle phần check login của ông này post:

Hoai cmn Linh said: đoạn query username pass đây View attachment 716678 tôi k rành bên sql alchemy hay flask nhưng thấy có vẻ vẫn là prepared statement mà nhỉ hàm đó đây View attachment 716680 anh nào làm với 2 thằng này giải thích tôi với. hay là chunxong giấu nghề đây Click to expand...

-> chả có chỗ nào là prepared statement ở đây cả, sqli ok nhé.

itachicitus

Senior Member

phidoi247 said: đúng rồi bảng user pass phải mã hóa vào, nó là vấn đề về đạo đức còn connection string thì thôi lưu raw cũng đc chứ nhỉ, dùng user riêng cho mỗi db, sql bind về 127.0.0.1, drop port sql là cũng chặn đc rồi chứ Click to expand...

Key vault thiết kế chuẩn thì thường chỉ cho set chứ không cho xem. À mới xem lại thì thằng azure vẫn cho xem secrets , nhưng ở dưới DB thì vẫn phải encrypt lại.

kyo_pyro

Senior Member

phidoi247 said: Hello các fen, tôi cũng dân dev nhưng thợ gõ thôi chứ cũng ko học rộng hiểu sâu lắm đâu nên tôi thắc mắc tí: Trong video chunxong dùng đoạn payload Code: 123456a@A' or 1=1-- để demo sqli vào bif Hiện tại hắn đã confirm là không đơn giản như vậy mà phải bypass được đoạn check regex trước View attachment 716704 Vậy với code của bif như này thì gửi payload vào như nào để chạy được sqli View attachment 716703 Mong các fen giải thích cho tôi Ông G4mm4 có gợi ý như thế này: View attachment 716705 Click to expand...

Thím để ý nhé, có 2 case đáng bàn ở đây:

• Nếu nó không pass regex thì response sẽ có mấy dấu * ở 2 đầu.
• Nếu pass regex nhưng sai mật khẩu thì sẽ không có dấu * ở response

Dựa vào đây chunxong sẽ biết được nó nhảy vào 2 nhánh khác nhau và biết cái nào pass, cái nào không pass regex B

Bear Inf

Đã tốn tiền

kyo_pyro said: Thím để ý nhé, có 2 case đáng bàn ở đây:

• Nếu nó không pass regex thì response sẽ có mấy dấu * ở 2 đầu.
• Nếu pass regex nhưng sai mật khẩu thì sẽ không có dấu * ở response

Dựa vào đây chunxong sẽ biết được nó nhảy vào 2 nhánh khác nhau và biết cái nào pass, cái nào không pass regex Click to expand...

Cái fen nói là cách để chunxong đoán pattern regex, còn ông kia thì vẫn cứ thắc mắc là gửi payload như nào để pass được cái regex, rõ ràng là 123456a@A' or 1=1-- chứ còn gì nữa :v

• 1
• 2
• 3
• …

  Go to page

  Go
• 7

Next 1 of 7

Go to page

Go Next Last You must log in or register to reply here.

Similar threads

[DỊCH]EU yêu cầu TikTok thay đổi thuật toán "gây nghiện".

• ndn
• Feb 7, 2026
• Điểm báo

Replies 12 Views 758 Feb 7, 2026 mr.....X..... M tuyển dụng Kỹ thuật viên massage tại nhà Hà Nội

• thinkandwork_
• Jan 20, 2026
• Tuyển dụng - Tìm việc

Replies 3 Views 733 Jan 30, 2026 hungthvn2 H kiến thức Tất cả mọi thứ về TOEIC 2 kỹ năng

• HuyVjppro
• Jan 23, 2026
• Ngoại ngữ

2 Replies 29 Views 5K Today at 1:11 PM Hói đầu tuổi 20 Website khiêu dâm nổi tiếng chặn người dùng mới tại Anh

• voz.walnut
• Feb 1, 2026
• Điểm báo

Replies 16 Views 3K Feb 2, 2026 Nuclear attack submarine Tạo deepfake khiêu dâm trẻ em có thể bị xử lý hình sự

• voz.walnut
• Feb 2, 2026
• Điểm báo

Replies 8 Views 914 Feb 2, 2026 Desvid Share: Facebook X Bluesky LinkedIn Reddit Pinterest WhatsApp Share Link

Thread statistics

Created Fire Of Heart, Aug 18, 2021 Last reply from kysihoanghon, Oct 3, 2021 Replies 137 Views 25,349

Share this page

Facebook X Bluesky LinkedIn Reddit Pinterest WhatsApp Share Link

• Forums
• Học tập & Sự nghiệp
• Lập trình / CNTT

Back Top