Ngữ cảnh
Tôi được một tin nhắn mời tham gia việc nhẹ lương cao trực tuyến, đang thất nghiệp nên tôi vào kết bạn. Sau một thời gian tìm hiểu biết đây là lừa đảo nên tôi quyết định tấn công máy chủ này. Toàn bộ quá trình tìm hiểu và chi tiết chiêu trò lừa đảo tôi để youtube (updating) , ở đây tôi xin đi sâu hơn vào kỹ thuật.
Thu thập thông tin
Máy chủ deploy ở Zenlayer co data center ở Hà Nội và HCM
Frontend viết bằng vuejs template của China
Payload gửi và nhận từ vue được encrypt
webserver là Tengine là được viết lại dựa theo nginx bởi taobao
Phương thức tấn công
Đa số lừa đảo muốn ăn nhanh lẹ nên quá trình đăng ký tài khoản rất nhanh và ít có các phương thức xác thực, nên lựa chọn tấn công DDoS là ưu tiên của tôi. Tôi thử đăng ký số diện thoại 0000000001 cũng được.
Giờ là lúc tạo payload: cách encrypt chắc nằm đâu đó trong đống JS đã bị minify và obfuscate, chuyện đó không khó với chrome (cám ơn google), bạn có thể tạo breakpoint debug trước lúc frontend gửi request để truy ngược lại.
Hàm setT
tuy để trong file tên là zepto.all.js - một thư viện hỗ trỡ ajax tuởng vô thưởng vô phạt nhưng laị call hàm encrypt options.data=g.d.e(keyWords,JSON.stringify(options.data));
Keywords
chính là key để mã hoá cũng được lưu tại đây
Và g.d.e()
là hàm encrypt với cách viết hy vọng làm nản lòng người đọc.
Tôi copy đoạn setT
và các dependency ra và test thử single request, mọi thứ ổn tôi deploy một nodejs đăng ký random 1000 tài khoản rồi cho pm2 start lạị process mãi mãi.
Server nghẽn, bảo trì rồi nó chặn IP nodejs của tôi, tôi dùng tor để luân chuyển IPs, sau đó nó chỉ cho đăng ký 3 tài khoản cho 1 IP.
Tôi tìm ra endpoint nạp tiền nó không chặn, nó lại bị đơ tiếp nhưng sau một thời gian nó chặn 1 dải blockIP cho tất cả endpoint.
Sau một thời gian quay lại thăm, nó không chặn nữa !? Tôi đoán nhóm bảo trì hệ thống này làm việc không có version control, lần deploy gần đây nhất đã xoá công sức của người trước. Nhóm lừa đảo làm việc khá cục bộ, người của bộ phận này thường không biết bộ phận khác làm gì, cách tổ chức này không hiệu quả về mặt công việc nhưng khá an toàn cho chóp bu. Xin cảm ơn các bạn đã đọc, lần tiếp theo tôi sẽ tiếp cận nhóm lừa đảo tinh vi hơn.
References
- target: https://gy708.com
- github: https://github.com/quabongbay/ais
- youtube: