Funny ---------------- Chuyện là mò lại hackmd thì mình thấy một draft lưu linh tinh, ban đầu không có ý định viết đâu nhưng thôi, mà thật ra cũng không có gì đặc biệt đâu!  Bài viết mang tính chất giải trí. ------------------------- Vào một ngày nọ, khi đi làm về thì bạn mình nhắn tin:  ## Recon https://kientuonglqmb.sukiens-garena.com/ Không cần vào cũng biết đó là trang phishing, mà đợt này mình cũng lướt phải mấy video tương tự vậy nên cũng vào nghịch thử:  Form login facebook cũng cũng giống đến 80% web thật, để tên class khá là lạ:  Search github thì được kết quả:  Ngó qua code thì khá chắc là tài khoản/ mật khẩu được gửi đến bot tele   Ngó qua vài file js thì thấy link fb 1 thanh niên viết tắt là NVN, khả năng là người code web:  Tuy nhiên subdomain supabase.co trên không dùng nữa nên mình không tiếp tục. Đi vào FB osint 1 chút thì biết được người này có domain: https://nvn.id.vn/ để tải config hackmap liên quân. Sử dụng https://dnsdumpster.com/ để check xem có subdomains nào không: Và có 1 trang admin.nvn.id.vn:  Giao diện tổng quan:  Request login:  Dựa vào vài thông tin cơ bản như việc path, mình tìm đc mã nguồn, giống đến 70%:  Xem nhanh qua src cũng có vài chỗ nối chuỗi SQL:   ## SQL Injection Mình tìm được một chỗ SQL injection (chỗ này unauth):  PoC trên là mình để time-based, và có chỗ boolean-based khác để dump db nhanh hơn:  Bảng `users` có cột `otpcode` dùng để reset password, do đó có thể lấy được acc admin mà không cần hướng crack hash:   Truy cập admin:  Web có chức năng nạp tiền nhưng thực chất đây chỉ là tiền ảo thôi. Dùng tiền này để mua 1 cái subdomain phishing mà bọn này code và từ đây lại mọc nhiều người đi mang mấy cái này đi phishing tiếp.  ------------------------------------------------ Ngoài ra, một vài endpoint khác cũng có thể khai thác SQLi:   Bên cạnh trang admin thì còn trang https://tool.nvn.id.vn/ để check xem acc có bao nhiêu trang phục các thứ và điều ngớ ngẩn là phải cần user/pass, không hiểu sao vẫn có rất nhiều người nhập vào và tất nhiên sẽ bị log lại.  Một lỗ hổng XSS trên trang này (cái này mình tìm vui thôi chứ impact không cao): https://tool.nvn.id.vn/xem-chi-tiet.php?account=abcxyz%27%29%3Beval%28atob%28%27YWxlcnQoJ2FoaWhpJyk%3D%27%29%29%3B%2F%2F À con này xài Roundcube:  F12 thấy `"rcversion":10502` tương ứng với 1.5.2:  Với version này có [CVE-2025-49113](https://nvd.nist.gov/vuln/detail/CVE-2025-49113) cho phép RCE nhưng mà cần account. Chỗ này tìm cách brute-force hay password spraying,... để kiếm acc cũng là vector tấn công tiếp. Tóm lại, toàn bộ acc phishing được sẽ được check thông tin acc, trắng thông tin, ... để đem đi bán   Ngoài ra còn bán hackmap các thứ bla bla, cộng đồng cũng khá đông:  Mình check thử cũng thấy nhiều account vào được, nhưng hầu hết acc trắng thông tin thì đều bị đổi pass.  J4F 🤡🤡🤡  ------------------------------ Đến đây mình cũng dừng lại thôi vì không rảnh để nghịch nữa :V Cũng gọi là hiểu được một chút cách hoạt động của bọn này, và cũng là một nhóm nhỏ trong lừa đảo hiện nay.