JABZ7SHOP : Web Selling Things With Cheap Price : https://jabz7shop.blogspot.com/ : Go To My Shop Online Now
Trang chủ
Bài đăng

Hack vào cổng nạp tiền của G-Zone M-edia và kinh nghiệm quý báu

3 min read

 Chào các bạn, trong suốt cuộc hành trình tìm kiếm lỗ hổng bảo mật của mình, tuy ít chia sẻ và viết báo cáo, nhưng đây là trường hợp đặc biệt mà mình phải viết báo cáo để có thể giúp các bạn có cái nhìn kinh nghiệm hơn trong việc report bug cho NPH.

Về lổ hỗng mà mình tìm được trong game Đấu Trường Kỳ Lạ – GZone

Lỗ hổng mà mình tìm được nằm trên trang web nạp thẻ của GZone Media, domain nap.zoneplay.vn.

Về lỗi bảo mật này, nó giúp mình khai thác tối đa và sử dụng API charging, get login info của cổng nạp thẻ mà không cần phải đăng nhập phức tạp, chỉ cần thấy player nào trong game giàu có, mình sẽ sao chép ID lại sau đó đăng nhập vào và chuyển toàn bộ tài sản (Gạo) trên cổng nạp thẻ của người đó vào tài khoản game của mình, phù hợp để bán kim cương lậu và buôn vật phẩm, tài khoản.

Trước tiên, mình sẽ vào trang nap.zoneplay.vn, thử request 1 UID bất kỳ lên API login và xem giá trị trả về, hoàn toàn không cần xác minh captcha và không bị giới hạn lượt thử cũng như 429. Giá trị trả về bao gồm các trường sau:

Dữ liệu trả về mô phỏng

Trong đó, mã token là mã quan trọng, nó dùng để chạy API nạp thẻ, coin là số coin có trong tài khoản, mình sẽ xem xét ID nào có số coin lớn sẽ tiến hành khai thác (Brute-force ID SE+4-5 số là chuẩn cơm mẹ nấu)

Tiếp đến, mình sẽ tiếp tục chạy API nạp thẻ, api này mình sẽ tùy chỉnh Role ID, Role Name là dãy mã hóa của tài khoản game của mình (dãy này mình sẽ get riêng cho ID mình bằng API phía trên), còn token là token của nick mà mình vừa khai thác, sau đó chạy API và kim cương sẽ bay về tài khoản game của mình. Có thể gửi về các game khác, chỉ cần thay đổi các giá trị app-key,role name và role id, vì gạo của GZone nạp được cho rất nhiều game.

Video test mà mình gửi cho NPH để hỗ trợ fix bug

Họ đã fix được chưa ?

Dựa trên thông báo chính thức, họ bảo đã fix được lỗi này, nhưng về sâu xa thì chưa, họ chỉ đơn giản là thay thế phương thức đăng nhập, nhưng request API thì vẫn có thể vào được, mình thấy dev của GZone khá là gà mờ.

Kinh nghiệm chiến trường

Kinh nghiệm của mình là bug được thì ỉm luôn rồi khai thác hoặc bán cho đối thủ của NPH thì tốt hơn, chỉ tham gia bug qua các event, các chương trình bug bounty, báo như này không có lễ lộc gì đâu haha. Lại chẳng có nổi 1 bài viết cảm ơn. Fix xong cũng không có thông báo.

Một số tin nhắn của mình với support


00:00 / 00:00

Bạn có thể thích những bài đăng này

  • Một vài trang web rút gọn link kiếm tiền ở Việt Nam Uy Tín 2022
     hello xin chào mọi người nha, nay thì mình xin chia sẽ cho anh em chúng ta một vài trang web rút gọn link giúp cho anh em sinh viên chúng ta có thể kiếm thêm thu nhập nhé hằn…
  • Admin Template cho Admin Dashboard từ JABZ7 hoàn toàn miễn phí
     Admin Dashboard là gì ??? Admin Dashboard là một thành phần của Website giúp quản trị viên có thể quản trị Website một cách tốt nhất. Khi thiết kế giao diện cho bảng quả…
  • Cách Tạo Web Xem Phim Bộ, Lẻ Free
      Chào mọi người, bài viết này KIMI sẽ chia sẻ cho mọi người 1 script có tên là "Wovie - Movie and TV Series Streaming Platform", đây là script giúp bạn tạo website …
  • Share code game offline bằng lolhtml
     hí xin chào anh em nay thì mình xin chia sẽ cho anh em một cái file chứa toàn bộ là 71 game và trong tương lai còn cặp nhật nhiều game hơn nữa. đây là các tựa game offline rấ…
  • Kiếm TIền Với MegaUrl
      hello xin chào mọi người nha, nay thì mình xin chia sẽ cho anh em chúng ta một vài trang web rút gọn link giúp cho anh em sinh viên chúng ta có thể kiếm thêm thu nhập nhé …
  • Share code tạo phòng stream 3D cực đẹp
      xin chào mọi người nha thì hôm nay mình xin chia sẽ cho mọi người một cái source code three.js khá là hay và thú vị. đây là code tạo một phòng livestream như thật …

Đăng nhận xét