https://blog.pzhat.id.vn/ Recent content on Phat Mai Blog Hugo en-us Fri, 10 Apr 2026 00:00:00 +0000 https://blog.pzhat.id.vn/about/ Fri, 10 Apr 2026 00:00:00 +0000 https://blog.pzhat.id.vn/about/ <h1 id="whoami">$<em>Whoami</em>$</h1> <blockquote> <p><strong>Pentester | Red Team Operator | Security Researcher</strong></p></blockquote> <h2 id="-about-me">🎯 About Me</h2> <p>I&rsquo;m a passionate cybersecurity professional specializing in penetration testing and red team operations. With a keen eye for vulnerabilities and a love for breaking (and fixing) things, I help organizations strengthen their security posture.</p> <p>When I&rsquo;m not hunting for vulnerabilities, you&rsquo;ll find me writing technical blog posts, participating in CTF competitions, and contributing to the security community.</p> https://blog.pzhat.id.vn/posts/2026-21-02-cve-2026-1581/ Wed, 31 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2026-21-02-cve-2026-1581/ <h1 id="cve-2026-1581-wordpress-wpforo-forum-plugin-is-vulnerable-to-a-high-priority-sql-injection">CVE-2026-1581 WordPress wpForo Forum Plugin is vulnerable to a high priority SQL Injection</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/BJipTiSdbe.png"></p> <h2 id="overview">Overview</h2> <p><strong>Published:</strong> 2026-02-19 <strong>CVE-ID:</strong> CVE-2026-1581 <strong>CVSS:</strong> 7.5 <strong>Affected Plugin:</strong> WordPress wpForo Forum Plugin <strong>Affected Versions:</strong> &lt;= 2.4.14 <strong>Vulnerability Type:</strong> High priority SQL Injection <strong>CWE:</strong> CWE-89 Improper Neutralization of Special Elements used in an SQL Command.</p> <h2 id="description">Description</h2> <p>The <strong>wpForo Forum plugin</strong> for WordPress is vulnerable to <strong>time-based SQL Injection</strong> via the <strong>&lsquo;wpfob&rsquo;</strong> parameter in <strong>all versions</strong> up to, and including, 2.4.14 due to <strong>insufficient escaping</strong> on the user supplied parameter and <strong>lack of sufficient preparation</strong> on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.</p> https://blog.pzhat.id.vn/posts/2026-14-02-cve-2026-0702/ Tue, 30 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2026-14-02-cve-2026-0702/ <h1 id="cve-2026-0702-wordpress-vidshop-plugin--114-is-vulnerable-to-a-high-priority-sql-injection">CVE-2026-0702 WordPress VidShop Plugin &lt;= 1.1.4 is vulnerable to a high priority SQL Injection</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/rkhOvm9vWg.png"></p> <h1 id="vidshop-plugin-vulnerable-to-sql-injection">VidShop Plugin Vulnerable to SQL Injection</h1> <h2 id="overview">Overview</h2> <ul> <li><strong>Published:</strong> 2026-01-28</li> <li><strong>CVE-ID:</strong> CVE-2026-0702</li> <li><strong>CVSS:</strong> 7.5 High</li> <li><strong>Affected Plugin:</strong> VidShop Plugin</li> <li><strong>Affected Versions:</strong> &lt;= 1.1.4</li> <li><strong>Vulnerability Type:</strong> High priority SQL Injection</li> <li><strong>CWE:</strong> CWE-89 Improper Neutralization of Special Elements used in an SQL Command</li> </ul> <h2 id="description">Description</h2> <p>The VidShop – Shoppable Videos for WooCommerce plugin for WordPress is vulnerable to time-based SQL Injection via the &lsquo;fields&rsquo; parameter in all versions up to, and including, 1.1.4 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.</p> https://blog.pzhat.id.vn/posts/2026-11-02-cve-2026-23550/ Mon, 29 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2026-11-02-cve-2026-23550/ <h1 id="cve-2026-23550-wordpress-modular-ds-plugin--251-is-vulnerable-to-a-high-priority-privilege-escalation">CVE-2026-23550 WordPress Modular DS Plugin &lt;= 2.5.1 is vulnerable to a high priority Privilege Escalation</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/HyLArhXPZg.png"></p> <h1 id="wordpress-modular-ds-plugin-privilege-escalation-vulnerability">WordPress Modular DS Plugin Privilege Escalation Vulnerability</h1> <h2 id="overview">Overview</h2> <ul> <li><strong>Published:</strong> 2026-01-14</li> <li><strong>CVE-ID:</strong> CVE-2026-23550</li> <li><strong>CVSS:</strong> 10.0 Critical (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)</li> <li><strong>Affected Plugin:</strong> WordPress Modular DS Plugin</li> <li><strong>Affected Versions:</strong> &lt;= 2.5.1</li> <li><strong>Vulnerability Type:</strong> High priority Privilege Escalation</li> <li><strong>CWE:</strong> CWE-266 Incorrect Privilege Assignment</li> </ul> <h2 id="description">Description</h2> <p>Incorrect Privilege Assignment vulnerability in Modular DS allows Privilege Escalation.This issue affects Modular DS: from n/a through 2.5.1.</p> https://blog.pzhat.id.vn/posts/2026-04-05-cve-2026-3459/ Sun, 28 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2026-04-05-cve-2026-3459/ <h2 id="cve-2026-3459-wordpress-drag-and-drop-multiple-file-upload--contact-form-7-plugin--1395-is-vulnerable-to-a-high-priority-arbitrary-file-upload">CVE-2026-3459 WordPress Drag and Drop Multiple File Upload – Contact Form 7 Plugin &lt;= 1.3.9.5 is vulnerable to a high priority Arbitrary File Upload</h2> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/BJZCp2osbl.png"></p> <h2 id="overview">Overview</h2> <p><strong>Published:</strong> 2026-03-05 <strong>CVE-ID:</strong> CVE-2026-3459 <strong>CVSS:</strong> 8.1 High <strong>Affected Plugin:</strong> Drag and Drop Multiple File Upload – Contact Form 7 Plugin <strong>Affected Versions:</strong> &lt;= 1.3.9.5 <strong>Vulnerability Type:</strong> Arbitrary File Upload <strong>CWE:</strong> CWE-434 Unrestricted Upload of File with Dangerous Type</p> <h2 id="description">Description</h2> <p>The Drag and Drop Multiple File Upload - Contact Form 7 plugin for WordPress is vulnerable to arbitrary file uploads due to insufficient file type validation in the <code>'dnd_upload_cf7_upload'</code> function in versions up to, and including, <code>1.3.7.3</code>. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site&rsquo;s server which may make remote code execution possible. This can be exploited if the form includes a multiple file upload field with ‘*’ as the accepted file type.</p> https://blog.pzhat.id.vn/posts/2026-04-02-cve-2026-2511/ Sat, 27 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2026-04-02-cve-2026-2511/ <h1 id="cve-2026-2511-js-help-desk--ai-powered-support--ticketing-system--304---unauthenticated-sql-injection-via-multiformid-parameter">CVE-2026-2511 JS Help Desk – AI-Powered Support &amp; Ticketing System &lt;= 3.0.4 - Unauthenticated SQL Injection via &lsquo;multiformid&rsquo; Parameter</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/Hkvne0ds-g.png"></p> <h2 id="overview">Overview</h2> <p><strong>Published:</strong> 2026-03-26 <strong>CVE-ID:</strong> CVE-2026-2511 <strong>CVSS:</strong> 7.5 High <strong>Affected Plugin:</strong> JS Help Desk – AI-Powered Support &amp; Ticketing System <strong>Affected Versions:</strong> &lt;= 3.0.4 <strong>Vulnerability Type:</strong> Unauthenticate SQL Injection <strong>CWE:</strong> CWE-89 Improper Neutralization of Special Elements used in an SQL Command</p> <h2 id="description">Description</h2> <p>The <strong>JS Help Desk – AI-Powered Support &amp; Ticketing System</strong> plugin for WordPress is vulnerable to <strong>SQL Injection</strong> via the <code>multiformid</code> parameter in the <code>storeTickets()</code> function in all versions up to, and including, 3.0.4. This is due to the user-supplied <code>multiformid</code> value being passed to <code>esc_sql()</code> without enclosing the result in quotes in the SQL query, rendering the escaping ineffective against payloads that do not contain quote characters. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.</p> https://blog.pzhat.id.vn/posts/2026-03-05-cve-2026-2232/ Fri, 26 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2026-03-05-cve-2026-2232/ <h1 id="cve-2026-2232-product-table-and-list-builder-for-woocommerce-lite-vulnerable-to-unauthenticated-time-based-sql-injection-via-search-parameter">CVE-2026-2232 Product Table and List Builder for WooCommerce Lite Vulnerable To Unauthenticated Time-Based SQL Injection via &lsquo;search&rsquo; Parameter</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/SkbyWJDObg.png"></p> <h2 id="overview">Overview</h2> <p><strong>Published:</strong> 2026-02-19 <strong>CVE-ID:</strong> CVE-2026-2232 <strong>CVSS:</strong> 7.5 High <strong>Affected Plugin:</strong> Product Table and List Builder for WooCommerce Lite <strong>Affected Versions:</strong> &lt;= 4.6.2 <strong>Vulnerability Type:</strong> Unauthenticate Time-Based SQL Injection <strong>CWE:</strong> CWE-89 Improper Neutralization of Special Elements used in an SQL Command</p> <h2 id="description">Description</h2> <p>The <strong>Product Table and List Builder for WooCommerce Lite plugin</strong> for WordPress is vulnerable to <strong>time-based SQL Injection</strong> via the <strong>&lsquo;search&rsquo; parameter</strong> in <strong>all versions</strong> up to, and including, <strong>4.6.2</strong> due to <strong>insufficient escaping</strong> on the user supplied parameter and <strong>lack of sufficient preparation</strong> on the existing <strong>SQL query</strong>. This makes it possible for unauthenticated attackers to append <strong>additional SQL queries</strong> into already existing queries that can be used to <strong>extract sensitive information</strong> from the database.</p> https://blog.pzhat.id.vn/posts/2026-03-03-cve-2025-7340/ Thu, 25 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2026-03-03-cve-2025-7340/ <h1 id="wordpress-ht-contact-form-7-plugin--221-is-vulnerable-to-a-high-priority-arbitrary-file-upload">WordPress HT Contact Form 7 Plugin &lt;= 2.2.1 is vulnerable to a high priority Arbitrary File Upload</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/HJ5TohCu-g.png"></p> <h2 id="overview">Overview</h2> <p><strong>Published:</strong> 2025-07-15 <strong>CVE-ID:</strong> CVE-2025-7340 <strong>CVSS:</strong> 10 Critical <strong>Affected Plugin:</strong> WordPress HT Contact Form 7 Plugin <strong>Affected Versions:</strong> &lt;= 2.2.1 <strong>Vulnerability Type:</strong> High priority Arbitrary File Upload <strong>CWE:</strong> CWE-434 Unrestricted Upload of File with Dangerous Type</p> <h2 id="description">Description</h2> <p>The HT Contact Form Widget For Elementor Page Builder &amp; Gutenberg Blocks &amp; Form Builder. plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the temp_file_upload function in all versions up to, and including, 2.2.1. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site&rsquo;s server which may make remote code execution possible.</p> https://blog.pzhat.id.vn/posts/2026-02-03-cve-2025-13329/ Wed, 24 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2026-02-03-cve-2025-13329/ <h1 id="cve-2025-13329-file-uploader-for-woocommerce--103---unauthenticated-arbitrary-file-upload-via-add-image-data">CVE-2025-13329 File Uploader for WooCommerce &lt;= 1.0.3 - Unauthenticated Arbitrary File Upload via add-image-data</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/SJGvzVA8bg.png"></p> <h1 id="file-uploader-for-woocommerce-plugin">File Uploader for WooCommerce Plugin</h1> <h2 id="overview">Overview</h2> <ul> <li><strong>Published:</strong> 2025-12-20</li> <li><strong>CVE-ID:</strong> CVE-2025-13329</li> <li><strong>Affected Plugin:</strong> File Uploader for WooCommerce</li> <li><strong>Affected Versions:</strong> &lt;= 1.0.3</li> <li><strong>Vulnerability Type:</strong> Unauthenticated Arbitrary File Upload via add-image-data</li> <li><strong>CWE-434:</strong> CWE-434 Unrestricted Upload of File with Dangerous Type</li> </ul> <h2 id="description">Description</h2> <p><strong>The File Uploader for WooCommerce</strong> plugin for <strong>WordPress</strong> is <strong>vulnerable to arbitrary file uploads</strong> due to missing file type validation in the callback function for the <strong>&lsquo;add-image-data&rsquo;</strong> <strong>REST API</strong> endpoint in all versions up to, and including, <strong>1.0.3</strong>. This makes it possible for <strong>unauthenticated</strong> attackers to upload arbitrary files to the Uploadcare service and subsequently download them on the affected site&rsquo;s server which may make <strong>remote code execution</strong> possible.</p> https://blog.pzhat.id.vn/posts/2026-02-01-cve-2025-68519/ Tue, 23 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2026-02-01-cve-2025-68519/ <h1 id="cve-2025-68519-wordpress-brands-for-woocommerce-plugin--3863-is-vulnerable-to-sql-injection">CVE-2025-68519 WordPress Brands for WooCommerce Plugin &lt;= 3.8.6.3 is vulnerable to SQL Injection</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/ByI6-ltIbg.png"></p> <h1 id="wordpress-brands-for-woocommerce-plugin">WordPress Brands for WooCommerce Plugin</h1> <h2 id="overview">Overview</h2> <ul> <li><strong>Published:</strong> 2025-12-24</li> <li><strong>CVE ID:</strong> CVE-2025-68519</li> <li><strong>Affected Plugin:</strong> WordPress Brands for WooCommerce</li> <li><strong>Affected Versions:</strong> &lt;= 3.8.6.3</li> <li><strong>Vulnerability Type:</strong> SQL Injection vulnerability</li> </ul> <h2 id="description">Description</h2> <p><strong>Improper Neutralization of Special Elements</strong> used in an <strong>SQL Command</strong> (&lsquo;SQL Injection&rsquo;) vulnerability in <strong>BeRocket Brands</strong> for WooCommerce brands-for-woocommerce allows <strong>Blind SQL Injection</strong>.This issue affects Brands for WooCommerce: from n/a through <strong>&lt;= 3.8.6.3</strong>.</p> https://blog.pzhat.id.vn/posts/2026-01-27-cve-2025-14770/ Mon, 22 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2026-01-27-cve-2025-14770/ <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/r1isJ3HLZl.png"></p> <h1 id="wordpress-shipping-rate-by-cities-plugin">WordPress Shipping Rate By Cities Plugin</h1> <h2 id="overview">Overview</h2> <ul> <li><strong>CVE ID:</strong> CVE-2025-14770</li> <li><strong>Affected Plugin:</strong> Shipping Rate By Cities</li> <li><strong>Affected Versions:</strong> ≤ 2.0.0</li> <li><strong>Vulnerability Type:</strong> Unauthenticated SQL Injection</li> <li><strong>Attack Vector:</strong> Network</li> <li><strong>Authentication Required:</strong> No</li> </ul> <h2 id="description">Description</h2> <p>The <strong>Shipping Rate By Cities</strong> WordPress plugin contains an <strong>unauthenticated SQL Injection</strong> vulnerability in versions up to <strong>2.0.0</strong>. The issue originates from unsafe handling of the <code>city</code> parameter, which is concatenated directly into an SQL query without proper preparation.</p> https://blog.pzhat.id.vn/posts/2026-01-21-ysoserial-cc3-analyst/ Sun, 21 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2026-01-21-ysoserial-cc3-analyst/ <h1 id="ysoserial-common-collections-3-analyst-cc3">Ysoserial Common Collections 3 Analyst (CC3)</h1> <h3 id="tổng-quan">Tổng quan</h3> <p><code>CC3 (CommonsCollections3)</code> trong ysoserial là một <code>gadget chain</code> dựa trên thư viện <code>Apache Commons Collections</code> để kích hoạt hành vi nguy hiểm thông qua <code>Java deserialization</code>. Nó dựa vào cách một số lớp trong thư viện có thể được “xâu chuỗi” (chain) để thực thi <code>logic</code> ngoài ý muốn khi một đối tượng được <code>deserialization</code>.</p> <h3 id="setup-debug-trong-intellij">SetUp Debug trong IntelliJ</h3> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/By9T0v3rWx.png"></p> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/BJtJ1O2B-l.png"></p> <p>Lúc tiến hành setup để có thể debug, phải chú ý rằng CC1 và CC3 đã không còn chạy được sau Java version 8u71, vì sau phiên bản java đó <code>sun.reflect.annotation.AnnotationInvocationHandler</code> đã thay đổi và không còn khả dụng. Vì vậy setup đẹp nhất là sử tải <code>JDK 1.7</code> kèm theo đó là sử dụng <code>Ysoserial Commons Collections version 3.1</code>.</p> https://blog.pzhat.id.vn/posts/2025-12-31-ssti-velocity/ Sat, 20 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-12-31-ssti-velocity/ <h1 id="velocity-server-side-template-injection-challenge">Velocity Server Side Template Injection Challenge</h1> <h3 id="tổng-quan-về-lab-velocity-ssti">Tổng quan về lab Velocity SSTI</h3> <p>Đây là một lab mình thiết kế ra để demo và học về SSTI. Bên trong lab được chia ra làm <code>4 level</code> với các lớp filter khác nhau. Nhiệm vụ của mình là <code>bypass</code> được các lớp bảo mật đó nhằm mục đích cuối cùng là <code>RCE</code>. Bây giờ mình sẽ đi vào phân tích chức năng của web app.</p> https://blog.pzhat.id.vn/posts/2025-12-25-cbjs-misconfiguration/ Fri, 19 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-12-25-cbjs-misconfiguration/ <h1 id="cbjs-java-misconfiguration-challenge">CBJS Java Misconfiguration Challenge</h1> <h3 id="statement-viewer-1-lỗ-hổng-từ-đặc-quyền-privileged-và-sự-hớ-hênh-của-admin">Statement Viewer 1: Lỗ hổng từ đặc quyền &ldquo;Privileged&rdquo; và sự hớ hênh của Admin</h3> <h4 id="tổng-quan-ứng-dụng">Tổng quan ứng dụng</h4> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/HyJYXUFQZg.png"></p> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/rk1BAIKm-g.png"></p> <p>Ứng dụng cung cấp chức năng cơ bản: cho phép người dùng <code>upload file</code> (định dạng PDF/TXT) và <code>view statement</code> để xem lại các tệp tin đã tải lên. Mỗi tệp tin được cấp một đường dẫn riêng biệt để truy xuất. Qua phân tích mã nguồn (Whitebox), chúng ta sẽ tập trung vào những <code>&quot;backdoor&quot;</code> mà developer đã bỏ quên.</p> https://blog.pzhat.id.vn/posts/2025-12-05-tryhackme-hammer/ Thu, 18 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-12-05-tryhackme-hammer/ <h1 id="tryhackme-hammer-web-challenge-writeup">TryHackMe Hammer Web Challenge WriteUp</h1> <p><img alt="image-14" loading="lazy" src="https://hackmd.io/_uploads/S1-1mNlzbl.png"></p> <h3 id="enumeration">Enumeration</h3> <p><img alt="image-15" loading="lazy" src="https://hackmd.io/_uploads/rJKJXExMZx.png"></p> <p>Tại đây, mình tiến hành scan và được 2 port đang mở bao gồm :</p> <ul> <li>22/tcp : đây là port SSH</li> <li>1337/tcp : đây là port của một cái http service và cái web app này được host lên bằng apache httpd. Bây giờ mình sẽ truy cập vào trang web.</li> </ul> <h3 id="exploitation">Exploitation</h3> <p><img alt="image-16" loading="lazy" src="https://hackmd.io/_uploads/HkmgQNeG-e.png"></p> <p>Sau khi truy cập web trả về cho mình một trang login. Vấn đề ở đây là mình không hề có account để truy cập vậy nên mình sẽ thử với các gói request qua burp proxy.</p> https://blog.pzhat.id.vn/posts/2025-12-02-iredteam-as-rep-roasting/ Wed, 17 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-12-02-iredteam-as-rep-roasting/ <h1 id="iredteam-as-rep-roasting">IredTeam AS-REP Roasting</h1> <h3 id="as-rep-là-gì">AS-REP là gì?</h3> <p><code>AS-REP</code> (viết tắt của Authentication Service Reply) là một <code>thông điệp</code> trong giao thức xác thực <code>Kerberos</code>. Đây là bước thứ hai trong quá trình xác thực ban đầu, được gửi từ <code>Key Distribution Center (KDC)</code>, thường là một Domain Controller trong môi trường Active Directory, đến người dùng.</p> <p>Thông điệp này chứa <code>Ticket-Granting Ticket (TGT)</code>, một ticket được mã hóa dùng để yêu cầu các vé dịch vụ khác mà không cần người dùng phải nhập lại mật khẩu. Một phần của thông điệp <code>AS-REP</code> này được mã hóa bằng chính <code>hash</code> mật khẩu của người dùng.</p> https://blog.pzhat.id.vn/posts/2025-12-01-ssti-lab/ Tue, 16 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-12-01-ssti-lab/ <h1 id="serverside-template-injection-ssti-lab">ServerSide Template Injection (SSTI) Lab</h1> <h3 id="ssti-là-gì">SSTI là gì</h3> <p>Server-Side Template Injection (SSTI) là một lỗ hổng bảo mật web nghiêm trọng cho phép kẻ tấn công chèn mã độc vào template của ứng dụng, dẫn đến việc mã này được thực thi trên phía server. Lỗ hổng này thường xảy ra khi dữ liệu đầu vào từ người dùng được nối trực tiếp vào template thay vì được truyền dưới dạng dữ liệu an toàn.</p> https://blog.pzhat.id.vn/posts/2025-11-25-graphql-api-vulnerability/ Mon, 15 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-11-25-graphql-api-vulnerability/ <h1 id="graphql-api-vulnerability-portswigger-challenge">GraphQL API Vulnerability PortSwigger Challenge</h1> <h3 id="overview-về-graphql">Overview về GraphQL</h3> <p>GraphQL là một ngôn ngữ truy vấn cho API (Query Language for APIs) và cũng là một môi trường thực thi phía máy chủ (server-side runtime) để thực hiện các truy vấn đó.</p> <p>Để dễ hiểu hãy hình dung như sau:</p> <ul> <li>Với <code>API truyền thống</code> (như REST API): Bạn phải gọi nhiều <code>&quot;endpoint&quot;</code>(đường dẫn) khác nhau để lấy các loại dữ liệu khác nhau.</li> </ul> <p>Ví dụ: để lấy thông tin người dùng và các bài viết của họ, bạn có thể phải gọi /users/1 để lấy thông tin người dùng, sau đó gọi <code>/users/1/posts</code> để lấy danh sách bài viết. Bạn thường nhận về toàn bộ dữ liệu mà endpoint đó cung cấp, dù bạn có cần hết hay không.</p> https://blog.pzhat.id.vn/posts/2025-11-16-cors-portswigger/ Sun, 14 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-11-16-cors-portswigger/ <h1 id="portswigger-cors-cross-origin-resource-sharing-challenge-writeup">PortSwigger CORS (Cross-Origin Resource Sharing) challenge WriteUp</h1> <h3 id="overview-về-cors">Overview về CORS</h3> <h4 id="cors-là-gì-vì-sao-lại-xuất-hiện">CORS là gì? Vì sao lại xuất hiện</h4> <ul> <li> <p>CORS (Cross-Origin Resource Sharing) là một cơ chế bảo mật trong web cho phép các tài nguyên trên một máy chủ được chia sẻ với các trang web có nguồn (origin) khác. &ldquo;Nguồn&rdquo; ở đây được định nghĩa bởi ba yếu tố: giao thức (http, https), tên miền (domain), và cổng (port).</p> https://blog.pzhat.id.vn/posts/2025-11-15-i.redteam-kerberos-silver-ticket/ Sat, 13 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-11-15-i.redteam-kerberos-silver-ticket/ <h1 id="iredteam-kerberos-silver-ticket">Ired.Team Kerberos Silver Ticket</h1> <p>Tiếp tục chuỗi series <code>AD abuse</code> thì tiếp theo ta tiến tới <code>Kerberos Silver Ticket</code> có nghĩa là ta sẽ hack quyền từ Kerberos nhưng không phải tạo <code>golden ticket</code> để truy cập mọi tài nguyên trong DC mà ở đây ta chỉ tạo <code>Silver Ticket</code> có quyền truy cập một số tài nguyên nhất định vì đôi khi ta cũng không cần phải full quyền để làm gì nhiều lúc sẽ dễ bị phát hiện nên ta chỉ cần lấy một vài tài nguyên, chính điều đó thì Silver Ticket ra đời.</p> https://blog.pzhat.id.vn/posts/2025-11-14-csrf-portswigger-challenge/ Fri, 12 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-11-14-csrf-portswigger-challenge/ <h1 id="portswigger-csrf-challenge-writeup">PortSwigger CSRF Challenge WriteUp</h1> <h3 id="giới-thiệu-về-csrf-cross-site-request-forgery">Giới thiệu về CSRF (Cross-Site Request Forgery)</h3> <h4 id="lỗ-hổng-csrf-là-gì-">Lỗ hổng CSRF là gì :</h4> <ul> <li>Cross-Site Request Forgery hay còn gọi theo tiếng việt là giả mạo yêu cầu trên nhiều trang, là một lỗ hổng bảo mật cho phép attacker lừa người dùng đã được xác thực (đã đăng nhập) thực hiện các hành động không mong muốn trên 1 ứng dụng Web.</li> <li>Nói đơn giản thì attacker sẽ mượn danh tính và session của một victim để gửi đi một yêu cầu giả mạo đến ứng dụng mà victim không hề hay biết. Nếu ứng dụng dễ bị tấn công, nó sẽ không thể phân biệt được đâu là yêu cầu giả mạo đâu là yêu cầu hợp lệ của victim (User).</li> </ul> <h4 id="csrf-hoạt-động-như-thế-nào-">CSRF hoạt động như thế nào :</h4> <ul> <li>Để thực hiện tấn công CSRF cần có 3 điều kiện bao gồm : <ul> <li>Hành động quan trọng : Ứng dụng phải có một function (hành động, action) mà attacker muốn thực hiện ví dụ như là đổi mật khẩu, đổi username, đổi email, chuyển tiền,…. Nói chung nó có lợi có attacker là tương hết hay còn gọi là attack surface ngon, nhiều.</li> <li>Xử lý request dựa trên cookie, session : Application phải chỉ dựa vào cookie của trình duyệt để xác định người dùng đang gửi yêu cầu. Không có cơ chế nào xác minh request.</li> <li>Không có tham số không thể đoán trước : Các tham số trong yêu cầu thực hiện hành động phải là những giá trị mà attacker có thể đoán trược hoặc là biết trước.</li> </ul> </li> </ul> <h4 id="tại-sao-lỗ-hổng-này-tồn-tại-">Tại sao lỗ hổng này tồn tại :</h4> <ul> <li>Lỗ hổng CSRF tồn tại do sự tin tưởng của ứng dụng web vào các cookie mà trình duyệt tự động gửi kèm theo mỗi yêu cầu. Ứng dụng chỉ kiểm tra &ldquo;ai&rdquo; đang gửi yêu cầu (dựa trên cookie session) mà không kiểm tra &ldquo;ý định&rdquo; của người dùng có thực sự muốn thực hiện hành động đó hay không.</li> </ul> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/ByFpDfMx-x.png"></p> https://blog.pzhat.id.vn/posts/2025-11-07-ysoserial-cc5/ Thu, 11 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-11-07-ysoserial-cc5/ <h1 id="ysoserial-commons-collections-5-analyst">Ysoserial Commons Collections 5 Analyst</h1> <h3 id="tổng-quan-commonscollections-5-trong-ysoserial">Tổng quan CommonsCollections 5 trong Ysoserial</h3> <p><code>CommonsCollections</code> là một trong những gadget chain nổi tiếng nhất trong các cuộc tấn công khai thác <code>Java deserialization</code> không an toàn, đặc biệt khi ứng dụng sử dụng thư viện <code>Apache Commons Collections</code>.</p> <p>Trong bài viết này, chúng ta sẽ tập trung vào <code>CommonsCollections5 (CC5)</code> — một trong các chain được tích hợp sẵn trong công cụ <code>ysoserial</code> . Mình chọn phân tích CC5 vì đây là chain được nhiều người đề xuất để học do tính minh bạch và dễ debug.</p> https://blog.pzhat.id.vn/posts/2025-11-07-i.redteam-kerberos-golden-ticket/ Wed, 10 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-11-07-i.redteam-kerberos-golden-ticket/ <h1 id="iredteam-kerberos-golden-tickets-lab">Ired.Team Kerberos: Golden Tickets Lab</h1> <h3 id="overview">Overview</h3> <p>Lab này khám phá một cuộc tấn công vào <code>Kerberos Authentication</code> của <code>Active Directory(AD)</code>. Chính xác hơn, đây là một cuộc tấn công giả mạo <code>Vé cấp quyền Kerberos (TGT)</code> được sử dụng để xác thực User bằng Kerberos.</p> <p>TGT được sử dụng khi <code>Ticket Granting Service (TGS)</code>, nghĩa là một TGT giả có thể giúp chúng ta có được bất kỳ ticket TGS nào.</p> https://blog.pzhat.id.vn/posts/2025-11-04-thm-basic-pentesting/ Tue, 09 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-11-04-thm-basic-pentesting/ <h1 id="tryhackme-basic-pentesting-challenge">Tryhackme Basic Pentesting Challenge</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/BkgEBzP1Zx.png"></p> <p>Sử dụng nmap để scan các port đang mở của target ở đây tôi sử dụng lệnh <code>nmap -sV -T4 &lt;ip&gt;</code> để scan cho nhanh và ta nhận được kết quả là 4 port đang mở.</p> <p>Với câu hỏi đầu là <code>What is the name of the hidden directory on the web server</code> ta sẽ tiến hành scan directory bằng gobuster ở đâu mình dùng lệnh :</p> https://blog.pzhat.id.vn/posts/2025-11-03-i.redteam-kerberoasting/ Mon, 08 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-11-03-i.redteam-kerberoasting/ <h1 id="iredteam-kerberoasting-credential-access">Ired.Team Kerberoasting (Credential Access)</h1> <h3 id="giải-thích-về-các-khái-niệm">Giải thích về các khái niệm</h3> <h4 id="kerberos-trong-active-directory">Kerberos trong Active Directory</h4> <ul> <li>Trong môi trường Windows Active Directory (AD), Kerberos là giao thức xác thực mặc định. Nó sử dụng các ticket để xác thực người dùng và dịch vụ mà không truyền mật khẩu qua mạng.</li> </ul> <p>Các thành phần chính:</p> <ul> <li>KDC <code>(Key Distribution Center)</code>: Thường là Domain Controller (DC).</li> <li>TGT <code>(Ticket Granting Ticket)</code>: Cấp cho user sau khi đăng nhập thành công → dùng để xin ticket cho dịch vụ.</li> <li>TGS <code>(Ticket Granting Service ticket)</code>: Là service ticket cho một dịch vụ cụ thể → dùng để truy cập dịch vụ đó.</li> </ul> <h4 id="spn-là-gì-service-principal-name">SPN là gì? (Service Principal Name)</h4> <ul> <li>SPN là một định danh duy nhất cho một dịch vụ trong domain.</li> <li>Định dạng: <code>ServiceClass/HostName[:Port]</code></li> <li>SPN được lưu trong thuộc tính <code>servicePrincipalName</code> của đối tượng người dùng (user object).</li> </ul> <h4 id="tgs-là-gì">TGS là gì?</h4> <ul> <li>TGS <code>(Ticket Granting Service ticket)</code> là ticket dùng để truy cập một dịch vụ cụ thể.</li> <li>Khi user yêu cầu truy cập dịch vụ (ví dụ: <code>IIS trên HTTP/dc-mantvydas.offense.local</code>).</li> <li>Tìm tài khoản nào sở hữu SPN đó → ví dụ: <code>user svc_iis</code>.</li> <li>Tạo TGS, trong đó có phần <code>&quot;server ticket&quot;</code> được mã hóa bằng mật khẩu hash của <code>svc_iis</code>.</li> <li>Gửi TGS cho client.</li> </ul> <h4 id="kỹ-thuật-kerberoasting-là-gì">Kỹ thuật Kerberoasting là gì?</h4> <p>Lợi dụng việc TGS được <code>mã hóa</code> bằng mật khẩu hash của tài khoản dịch vụ để trích xuất ticket, rồi <code>brute-force offline</code> nhằm khôi phục mật khẩu gốc.</p> https://blog.pzhat.id.vn/posts/2025-10-30-iredteam-from-da-to-ea/ Sun, 07 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-10-30-iredteam-from-da-to-ea/ <h1 id="iredteam-from-domain-admin-to-enterprise-admin">Ired.Team From Domain Admin to Enterprise Admin</h1> <h3 id="overview">Overview</h3> <p>Ở lab này ta sẽ lợi dụng mối quan hệ giữa <strong>Parent-Child</strong> domain từ đó lợi dụng mối quan hệ đó và gây nên leo thang đặc quyền.</p> <h3 id="build-lab">Build lab</h3> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/BJhTNPJk-x.png"></p> <p>SetUp domain đặt tên là <code>offense.local</code> đây là domain cha với IP là <code>192.168.10.10/24</code> và <code>DNS: 127.0.0.1</code>.</p> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/BkRX1OR0ge.png"></p> <ul> <li> <p>Đã cài xong <code>Active Directory Domain Services (AD DS).</code></p> </li> <li> <p>Đã promote máy thành <code>Domain Controller</code> cho domain: <code>offense.local</code>.</p> https://blog.pzhat.id.vn/posts/2025-10-28-ysoserial-urldns/ Sat, 06 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-10-28-ysoserial-urldns/ <h1 id="java-deserialze---urldns-chain-analysis-ysoserial">Java Deserialze - URLDNS Chain analysis (ysoserial)</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/r1R3sp6Rgl.png"></p> <h3 id="java-deserialize-là-gì">Java Deserialize là gì?</h3> <ul> <li>Java cung cấp cho người dùng hàm <code>writeObject()</code> để tiến hành quá trình <code>serialize</code> các object ở đây quá trình serialize sinh ra để chuyển một đối tượng Java thành chuỗi byte để lưu trữ (file, DB) hoặc truyền qua mạng (socket, RMI, JMS).</li> <li>Và để có thể đọc được dữ liệu được serialize từ <code>ObjectInputStream</code> ta có quá trình <code>deserialize</code> ở java sử dụng hàm <code>readObject()</code> cho quá trình đó.</li> </ul> <h3 id="khai-thác-java-object-injection">Khai thác Java Object Injection</h3> <ul> <li>Rủi ro sẽ đến với các đối tượng xử lý deserialize các <code>Untrusted Data</code>.</li> <li>Attacker có thể lợi dụng các magic method, cách mà OOP vận hành từ đó tạo ra <code>exploit chain</code> hoàn chỉnh và tiến hành sử dụng payload.</li> </ul> <h3 id="tiến-hành-setup-môi-trường-test">Tiến hành Setup môi trường test</h3> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/S1UCyu2Clg.png"></p> https://blog.pzhat.id.vn/posts/2025-10-23-cscv-spring-time-challenge/ Fri, 05 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-10-23-cscv-spring-time-challenge/ <h1 id="spring-time-ctf-challenge-writeup">Spring Time CTF challenge WriteUp</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/r14_Z7wRgx.png"></p> <p>Web App được chia làm 2 services khác nhau bao gồm:</p> <ul> <li>gateman : port 8080</li> <li>newsman : port 8082</li> </ul> <h3 id="phân-tích-từng-chức-năng-từng-service">Phân tích từng chức năng từng service</h3> <ul> <li><strong>Gateman</strong></li> </ul> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/r1d3imwRee.png"></p> <p>Nó được chạy bằng port 8080 bên cạnh đó nó còn gọi cloud cùng với đó là expose include ra các chức năng như <code>health</code> , <code>info</code> , <code>gateway</code>. Vậy nên có thể biết được đây là service <code>Spring Cloud</code> với chức năng routing đến các <code>routes</code>.</p> https://blog.pzhat.id.vn/posts/2025-10-15-cbjs-java-deserialize/ Thu, 04 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-10-15-cbjs-java-deserialize/ <h1 id="java-deserialize-cbjs-lab">Java Deserialize CBJS Lab</h1> <h3 id="giải-thích-chi-tiết-về-lỗ-hổng-deserialization">Giải thích chi tiết về lỗ hổng Deserialization</h3> <p><strong>1. Deserialization là gì?</strong></p> <ul> <li> <p>Serialization là quá trình chuyển đổi một object (đối tượng) trong bộ nhớ thành một định dạng có thể lưu trữ hoặc truyền tải (như byte stream, JSON, XML).</p> </li> <li> <p>Deserialization là quá trình ngược lại - chuyển đổi dữ liệu đã được serialize trở lại thành object trong bộ nhớ.</p> </li> </ul> <p><strong>2. Nguyên nhân</strong> Lỗ hổng xảy ra khi:</p> https://blog.pzhat.id.vn/posts/2025-10-10-pentesterlab-from-sql-to-shell/ Wed, 03 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-10-10-pentesterlab-from-sql-to-shell/ <h1 id="pentester-lab-from-sql-injection-to-shell">Pentester Lab From Sql Injection to Shell</h1> <h3 id="fingerprinting">Fingerprinting</h3> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/SyqcWYLTeg.png"></p> <p>Sử dụng nmap với cú pháp:</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-shell" data-lang="shell"><span class="line"><span class="cl">sudo nmap -sV 192.168.179.132 -T4 </span></span></code></pre></div><p>Kết quả trả về cho thấy đang có 2 port đang được mở đó là port 22 và 80 như ta đã biết port 22 là SSH còn 80 là Apache httpd thì có nghĩa là nó đang host 1 cái web nào đó.</p> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/HkB2GtUaee.png"></p> <p>Tiến hành curl đến xem thử có tồn tại không và để lấy được source code của web được host ở đây nó đưa cho ta thông tin về server và web được code bằng <code>PHP/5.3.3-7+squeeze14</code>.</p> https://blog.pzhat.id.vn/posts/2025-10-09-web-cache-deception/ Tue, 02 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-10-09-web-cache-deception/ <h1 id="web-cache-deception-demo-lab">Web Cache Deception Demo Lab</h1> <h3 id="tổng-quan-web-cache-deception">Tổng quan Web Cache Deception</h3> <p><em>Lỗ hổng &ldquo;web cache deception&rdquo; (đánh lừa bộ nhớ đệm web) là một dạng lỗ hổng bảo mật web, cho phép kẻ tấn công lừa hệ thống cache (bộ nhớ đệm web) lưu trữ và phục vụ lại những nội dung nhạy cảm hoặc riêng tư cho các bên không được ủy quyền. Đây là một hình thức khai thác sự khác biệt trong cách các server cache và server gốc xử lý các request—đặc biệt là về quy tắc lưu cache cho các tài nguyên động (như trang tài khoản người dùng, trang admin, v.v.).</em></p> https://blog.pzhat.id.vn/posts/2025-10-06-nosql-injection-lab/ Mon, 01 Dec 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-10-06-nosql-injection-lab/ <h1 id="nosql-injection-vulnerability-challenge-java">NoSQL Injection Vulnerability Challenge Java</h1> <h3 id="tổng-quan-về-nosql-injection">Tổng quan về NoSQL Injection</h3> <ul> <li> <p>Tấn công NoSQL injection là một lỗ hổng bảo mật trong các ứng dụng web sử dụng cơ sở dữ liệu NoSQL. NoSQL (viết tắt của &ldquo;Not Only SQL&rdquo;) là các hệ thống cơ sở dữ liệu không sử dụng ngôn ngữ truy vấn có cấu trúc SQL, mà thay vào đó dùng các định dạng dữ liệu linh hoạt hơn như cặp khóa-giá trị, tài liệu (document), hoặc đồ thị dữ liệu.</p> https://blog.pzhat.id.vn/posts/2025-09-30-brokenaccess-control/ Sun, 30 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-30-brokenaccess-control/ <h1 id="broken-access-control-vulnerability-lab">Broken Access Control Vulnerability Lab</h1> <h3 id="what-is-broken-access-control-bac">What is Broken Access Control (BAC)</h3> <p>Broken Access Control là một loại lỗ hổng bảo mật web xảy ra khi người dùng có thể truy cập vào các tài nguyên hoặc thực hiện các hành động vượt quá quyền hạn cho phép của họ. Đây là một trong những rủi ro bảo mật nghiêm trọng nhất đối với các ứng dụng web, theo danh sách của OWASP Top 10.</p> https://blog.pzhat.id.vn/posts/2025-09-28-xxe-injection/ Sat, 29 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-28-xxe-injection/ <h1 id="xxe-injection-vulnerability-lab">XXE Injection Vulnerability Lab</h1> <h3 id="xxe-injection-là-gì">XXE Injection là gì?</h3> <p>XXE (XML External Entity) Injection là một lỗ hổng bảo mật web cho phép kẻ tấn công can thiệp vào quá trình một ứng dụng xử lý dữ liệu XML. Lỗ hổng này xảy ra khi một trình phân tích (parser) XML được cấu hình yếu xử lý các thực thể bên ngoài (external entities) do người dùng cung cấp trong tài liệu XML.</p> https://blog.pzhat.id.vn/posts/2025-09-26-websecfr-level1/ Fri, 28 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-26-websecfr-level1/ <h1 id="websecfr-level-1-ctf-challenge">WebSec.fr level 1 CTF challenge</h1> <h3 id="overview">Overview</h3> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/Sk1nSnX3xg.png"></p> <p>Giao diện chức năng của level này ta có thể thấy nó là một web app có chức năng hiển thị username bằng cách nhập vào userID nên bước đầu ta có thể nghi ngờ nó dính Sql Injection.</p> <h3 id="phân-tích-source-code">Phân tích source code</h3> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-php" data-lang="php"><span class="line"><span class="cl"><span class="o">&lt;?</span><span class="nx">php</span> </span></span><span class="line"><span class="cl"><span class="nx">session_start</span> <span class="p">();</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"><span class="nx">ini_set</span><span class="p">(</span><span class="s1">&#39;display_errors&#39;</span><span class="p">,</span> <span class="s1">&#39;on&#39;</span><span class="p">);</span> </span></span><span class="line"><span class="cl"><span class="nx">ini_set</span><span class="p">(</span><span class="s1">&#39;error_reporting&#39;</span><span class="p">,</span> <span class="k">E_ALL</span><span class="p">);</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"><span class="k">include</span> <span class="s1">&#39;anti_csrf.php&#39;</span><span class="p">;</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"><span class="nx">init_token</span> <span class="p">();</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"><span class="k">class</span> <span class="nc">LevelOne</span> <span class="p">{</span> </span></span><span class="line"><span class="cl"> <span class="k">public</span> <span class="k">function</span> <span class="nf">doQuery</span><span class="p">(</span><span class="nv">$injection</span><span class="p">)</span> <span class="p">{</span> </span></span><span class="line"><span class="cl"> <span class="nv">$pdo</span> <span class="o">=</span> <span class="k">new</span> <span class="nx">SQLite3</span><span class="p">(</span><span class="s1">&#39;database.db&#39;</span><span class="p">,</span> <span class="nx">SQLITE3_OPEN_READONLY</span><span class="p">);</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"> <span class="nv">$query</span> <span class="o">=</span> <span class="s1">&#39;SELECT id,username FROM users WHERE id=&#39;</span> <span class="o">.</span> <span class="nv">$injection</span> <span class="o">.</span> <span class="s1">&#39; LIMIT 1&#39;</span><span class="p">;</span> </span></span><span class="line"><span class="cl"> <span class="nv">$getUsers</span> <span class="o">=</span> <span class="nv">$pdo</span><span class="o">-&gt;</span><span class="na">query</span><span class="p">(</span><span class="nv">$query</span><span class="p">);</span> </span></span><span class="line"><span class="cl"> <span class="nv">$users</span> <span class="o">=</span> <span class="nv">$getUsers</span><span class="o">-&gt;</span><span class="na">fetchArray</span><span class="p">(</span><span class="nx">SQLITE3_ASSOC</span><span class="p">);</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"> <span class="k">if</span> <span class="p">(</span><span class="nv">$users</span><span class="p">)</span> <span class="p">{</span> </span></span><span class="line"><span class="cl"> <span class="k">return</span> <span class="nv">$users</span><span class="p">;</span> </span></span><span class="line"><span class="cl"> <span class="p">}</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"> <span class="k">return</span> <span class="k">false</span><span class="p">;</span> </span></span><span class="line"><span class="cl"> <span class="p">}</span> </span></span><span class="line"><span class="cl"><span class="p">}</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"><span class="k">if</span> <span class="p">(</span><span class="nx">isset</span> <span class="p">(</span><span class="nv">$_POST</span><span class="p">[</span><span class="s1">&#39;submit&#39;</span><span class="p">])</span> <span class="o">&amp;&amp;</span> <span class="nx">isset</span> <span class="p">(</span><span class="nv">$_POST</span><span class="p">[</span><span class="s1">&#39;user_id&#39;</span><span class="p">]))</span> <span class="p">{</span> </span></span><span class="line"><span class="cl"> <span class="nx">check_and_refresh_token</span><span class="p">();</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"> <span class="nv">$lo</span> <span class="o">=</span> <span class="k">new</span> <span class="nx">LevelOne</span> <span class="p">();</span> </span></span><span class="line"><span class="cl"> <span class="nv">$userDetails</span> <span class="o">=</span> <span class="nv">$lo</span><span class="o">-&gt;</span><span class="na">doQuery</span> <span class="p">(</span><span class="nv">$_POST</span><span class="p">[</span><span class="s1">&#39;user_id&#39;</span><span class="p">]);</span> </span></span><span class="line"><span class="cl"><span class="p">}</span> </span></span><span class="line"><span class="cl"><span class="cp">?&gt;</span><span class="err"> </span></span></span></code></pre></div><p>Challenge cung cấp cho ta đoạn source code của của web app với logic được xử lý bằng php và ta có thể thấy rằng trường userID được query bằng SQLITE3.</p> https://blog.pzhat.id.vn/posts/2025-09-23-ssrf-challenge/ Thu, 27 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-23-ssrf-challenge/ <h1 id="server-side-request-forgery-java">Server Side Request Forgery (Java)</h1> <h3 id="source-code">Source Code</h3> <p>Github: <a href="https://github.com/pzhat/SSRF_vuln_demo">https://github.com/pzhat/SSRF_vuln_demo</a></p> <h3 id="what-is-ssrf">What is SSRF</h3> <p>Giới thiệu về Server-Side Request Forgery :</p> <p>Chúng ta có xu hướng lơ là, mất cảnh giác khi đang trong vùng an toàn</p> <p>→ Developer nghĩ rằng hacker sẽ không truy cập được các ứng dụng nội bộ do đó việc bị hack gần như là không thể</p> <p>→ Pentester cũng không đủ thời gian để security test hết tất cả dịch vụ nội bộ</p> https://blog.pzhat.id.vn/posts/2025-09-19-path-traversal-servlet/ Wed, 26 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-19-path-traversal-servlet/ <h1 id="java-servlet-path-traversal-vulnerability">Java Servlet Path Traversal vulnerability</h1> <h3 id="source-code">Source Code:</h3> <p>[<a href="https://github.com/pzhat/Path_Traversal_Lab">Github Link</a>]</p> <h3 id="overview">Overview</h3> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/SJl8JTtolx.png"></p> <p>Đây là chức năng hiển thị hình ảnh của các file đã nằm trong folder <code>images</code>.</p> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/rkGKkaYjle.png"></p> <p>Ở đây ta test file <code>skibidi.jpg</code> và request nó sẽ hiển thị lên cho ta.</p> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/ByPi1pKjgg.png"></p> <p>Đây là nơi chứa các file có thể hiển thị.</p> <p>Vì là build trên môi trường windows localhost qua apache tôi sẽ tạo một thư mục <code>/protected</code> có chứa file bí mật.</p> https://blog.pzhat.id.vn/posts/2025-09-17-seccon-safeupload-web-challenge/ Tue, 25 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-17-seccon-safeupload-web-challenge/ <h1 id="cybercon-2025-safeupload-web-challenge">CyberCon 2025 SafeUpload Web Challenge</h1> <h3 id="tổng-quan-challenge">Tổng quan challenge</h3> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/Hkm8uTIjll.png"></p> <p>Mở challenge lên thì ta thấy nó cấp cho ta một giao diện dùng để upload file nên nghi ngờ ban đầu sẽ là web này dính lỗ hổng file upload.</p> <p>Tiến hành thử upload lên file php với nội dung:</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-php" data-lang="php"><span class="line"><span class="cl"><span class="o">&lt;?</span><span class="nx">php</span> </span></span><span class="line"><span class="cl"><span class="k">echo</span> <span class="s2">&#34;test&#34;</span><span class="p">;</span> </span></span><span class="line"><span class="cl"><span class="cp">?&gt;</span><span class="err"> </span></span></span></code></pre></div><p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/B1guFaUsxx.png"></p> <p>Có vẻ như đã dính filter của bài có thể thấy nó đã xoá đi file mình upload lên, bây giờ ta thử upload 1 file php nhưng không có nội dung.</p> https://blog.pzhat.id.vn/posts/2025-09-16-websec.fr-level28/ Mon, 24 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-16-websec.fr-level28/ <h1 id="websecfr-level-28-ctf-challenge">WebSec.fr Level 28 CTF challenge</h1> <h3 id="tổng-quan">Tổng quan:</h3> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/Syc1KLLjxl.png"></p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-php" data-lang="php"><span class="line"><span class="cl"><span class="o">&lt;?</span><span class="nx">php</span> </span></span><span class="line"><span class="cl"><span class="k">if</span><span class="p">(</span><span class="nx">isset</span><span class="p">(</span><span class="nv">$_POST</span><span class="p">[</span><span class="s1">&#39;submit&#39;</span><span class="p">]))</span> <span class="p">{</span> </span></span><span class="line"><span class="cl"> <span class="k">if</span> <span class="p">(</span><span class="nv">$_FILES</span><span class="p">[</span><span class="s1">&#39;flag_file&#39;</span><span class="p">][</span><span class="s1">&#39;size&#39;</span><span class="p">]</span> <span class="o">&gt;</span> <span class="mi">4096</span><span class="p">)</span> <span class="p">{</span> </span></span><span class="line"><span class="cl"> <span class="k">die</span><span class="p">(</span><span class="s1">&#39;Your file is too heavy.&#39;</span><span class="p">);</span> </span></span><span class="line"><span class="cl"> <span class="p">}</span> </span></span><span class="line"><span class="cl"> <span class="nv">$filename</span> <span class="o">=</span> <span class="s1">&#39;./tmp/&#39;</span> <span class="o">.</span> <span class="nx">md5</span><span class="p">(</span><span class="nv">$_SERVER</span><span class="p">[</span><span class="s1">&#39;REMOTE_ADDR&#39;</span><span class="p">])</span> <span class="o">.</span> <span class="s1">&#39;.php&#39;</span><span class="p">;</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"> <span class="nv">$fp</span> <span class="o">=</span> <span class="nx">fopen</span><span class="p">(</span><span class="nv">$_FILES</span><span class="p">[</span><span class="s1">&#39;flag_file&#39;</span><span class="p">][</span><span class="s1">&#39;tmp_name&#39;</span><span class="p">],</span> <span class="s1">&#39;r&#39;</span><span class="p">);</span> </span></span><span class="line"><span class="cl"> <span class="nv">$flagfilecontent</span> <span class="o">=</span> <span class="nx">fread</span><span class="p">(</span><span class="nv">$fp</span><span class="p">,</span> <span class="nx">filesize</span><span class="p">(</span><span class="nv">$_FILES</span><span class="p">[</span><span class="s1">&#39;flag_file&#39;</span><span class="p">][</span><span class="s1">&#39;tmp_name&#39;</span><span class="p">]));</span> </span></span><span class="line"><span class="cl"> <span class="o">@</span><span class="nx">fclose</span><span class="p">(</span><span class="nv">$fp</span><span class="p">);</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"> <span class="nx">file_put_contents</span><span class="p">(</span><span class="nv">$filename</span><span class="p">,</span> <span class="nv">$flagfilecontent</span><span class="p">);</span> </span></span><span class="line"><span class="cl"> <span class="k">if</span> <span class="p">(</span><span class="nx">md5_file</span><span class="p">(</span><span class="nv">$filename</span><span class="p">)</span> <span class="o">===</span> <span class="nx">md5_file</span><span class="p">(</span><span class="s1">&#39;flag.php&#39;</span><span class="p">)</span> <span class="o">&amp;&amp;</span> <span class="nv">$_POST</span><span class="p">[</span><span class="s1">&#39;checksum&#39;</span><span class="p">]</span> <span class="o">==</span> <span class="nx">crc32</span><span class="p">(</span><span class="nv">$_POST</span><span class="p">[</span><span class="s1">&#39;checksum&#39;</span><span class="p">]))</span> <span class="p">{</span> </span></span><span class="line"><span class="cl"> <span class="k">include</span><span class="p">(</span><span class="nv">$filename</span><span class="p">);</span> <span class="c1">// it contains the `$flag` variable </span></span></span><span class="line"><span class="cl"><span class="c1"></span> <span class="p">}</span> <span class="k">else</span> <span class="p">{</span> </span></span><span class="line"><span class="cl"> <span class="nv">$flag</span> <span class="o">=</span> <span class="s2">&#34;Nope, </span><span class="si">$filename</span><span class="s2"> is not the right file, sorry.&#34;</span><span class="p">;</span> </span></span><span class="line"><span class="cl"> <span class="nx">sleep</span><span class="p">(</span><span class="mi">1</span><span class="p">);</span> <span class="c1">// Deter bruteforce </span></span></span><span class="line"><span class="cl"><span class="c1"></span> <span class="p">}</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl"> <span class="nx">unlink</span><span class="p">(</span><span class="nv">$filename</span><span class="p">);</span> </span></span><span class="line"><span class="cl"><span class="p">}</span> </span></span><span class="line"><span class="cl"><span class="cp">?&gt;</span><span class="err"> </span></span></span></code></pre></div><p>Đoạn mã này là một trang web đơn giản cho phép người dùng tải lên một tệp và nhập một giá trị checksum. Mục tiêu là tải lên một tệp tin sao cho hai điều kiện sau được thỏa mãn:</p> https://blog.pzhat.id.vn/posts/2025-09-09-thm-evilgpt/ Sun, 23 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-09-thm-evilgpt/ <h1 id="tryhackme-evilgpt-challenge-writeup-by-phatmh">Tryhackme EvilGPT challenge WriteUp by @phatmh</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/SJs0f-gLgl.png"> <img alt="image" loading="lazy" src="https://hackmd.io/_uploads/BJbzEWeIle.png"> Dùng netcat để tiến hành kết nối với chall và tiến hành LLM Inject để có thể moi được flag từ con AI. <img alt="image" loading="lazy" src="https://hackmd.io/_uploads/By7uHZgLxl.png"> Sau khi test thử thì đây không phải con AI bình thường như tôi nghĩ mà nó là một con AI thực thi các câu lệnh OS vậy bây giờ tiến hành thử moi ra các thứ có trong server. <img alt="image" loading="lazy" src="https://hackmd.io/_uploads/SkQHvWeUxg.png"> Tiến hành đọc thử source code của con AI xem nó có những cái gì.</p> https://blog.pzhat.id.vn/posts/2025-09-09-servlet-sql-injection/ Sat, 22 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-09-servlet-sql-injection/ <h1 id="java-servlet-sql-injection-vulnerability-by-phatmh">Java Servlet Sql Injection Vulnerability by @Phatmh</h1> <h3 id="tổng-quan-cấu-trúc-file-java">Tổng quan cấu trúc file java</h3> <pre tabindex="0"><code>+---.idea +---dataSources +---.mvn +---wrapper +---src +---main +---java +---sql_injection +---controller +---dao +---model +---util +---resources +---META-INF +---webapp +---WEB-INF +---test +---java +---resources +---target +---classes +---META-INF +---sql_injection +---controller +---dao +---model +---util +---generated-sources +---annotations +---Sql_Injection-1.0-SNAPSHOT +---META-INF +---WEB-INF +---classes +---META-INF +---sql_injection +---controller +---dao +---model +---util </code></pre><p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/S16Q8BvYxx.png"></p> <pre><code>Cấu trúc của project được viết bằng mô hình MVC với UserDAO là nơi xử lý logic chính. Tại đây mình tạo ra 11 level tương ứng với các độ khó khác nhau. Ở đây basic sẽ là 1-5 và 6-11 sẽ là hard. </code></pre> <h3 id="source-code-github">Source Code (Github)</h3> <p><a href="https://github.com/pzhat/Sql_Injection_Lab">Github</a></p> https://blog.pzhat.id.vn/posts/2025-09-09-servlet-cmdi/ Fri, 21 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-09-servlet-cmdi/ <h1 id="java-servlet-command-injection-vulnerability-challenges">Java Servlet Command Injection Vulnerability Challenges</h1> <h3 id="cấu-trúc-project">Cấu trúc Project</h3> <summary> Cấu trúc Project </summary> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-text" data-lang="text"><span class="line"><span class="cl">+---.idea </span></span><span class="line"><span class="cl">+---.mvn </span></span><span class="line"><span class="cl">ª +---wrapper </span></span><span class="line"><span class="cl">+---src </span></span><span class="line"><span class="cl">ª +---main </span></span><span class="line"><span class="cl">ª ª +---java </span></span><span class="line"><span class="cl">ª ª ª +---ci </span></span><span class="line"><span class="cl">ª ª ª +---controller </span></span><span class="line"><span class="cl">ª ª ª +---service </span></span><span class="line"><span class="cl">ª ª ª +---util </span></span><span class="line"><span class="cl">ª ª +---resources </span></span><span class="line"><span class="cl">ª ª ª +---META-INF </span></span><span class="line"><span class="cl">ª ª +---webapp </span></span><span class="line"><span class="cl">ª ª +---WEB-INF </span></span><span class="line"><span class="cl">ª +---test </span></span><span class="line"><span class="cl">ª +---java </span></span><span class="line"><span class="cl">ª +---resources </span></span><span class="line"><span class="cl">+---target </span></span><span class="line"><span class="cl"> +---classes </span></span><span class="line"><span class="cl"> ª +---ci </span></span><span class="line"><span class="cl"> ª ª +---controller </span></span><span class="line"><span class="cl"> ª ª +---service </span></span><span class="line"><span class="cl"> ª ª +---util </span></span><span class="line"><span class="cl"> ª +---META-INF </span></span><span class="line"><span class="cl"> +---Command_Injection-1.0-SNAPSHOT </span></span><span class="line"><span class="cl"> ª +---META-INF </span></span><span class="line"><span class="cl"> ª +---WEB-INF </span></span><span class="line"><span class="cl"> ª +---classes </span></span><span class="line"><span class="cl"> ª +---ci </span></span><span class="line"><span class="cl"> ª ª +---controller </span></span><span class="line"><span class="cl"> ª ª +---service </span></span><span class="line"><span class="cl"> ª ª +---util </span></span><span class="line"><span class="cl"> ª +---META-INF </span></span><span class="line"><span class="cl"> +---generated-sources </span></span><span class="line"><span class="cl"> +---annotations </span></span></code></pre></div><ul> <li><mark>LabServlet.java:</mark>Xử lý HTTP request với response thực hiện các tác vụ trên server và trả về kết quả cho người dùng.</li> <li><mark>LabService.java:</mark> Nơi đây là nơi xử lý logic chính của cả Web Application là nơi xử lý các level khác nhau.</li> <li><mark>Shell.java:</mark> Có nhiệm vụ thực thi các lệnh shell hoặc command-line từ chương trình Java và trả về kết quả của lệnh đó dưới dạng chuỗi.</li> </ul> <h4 id="source-code">Source Code:</h4> <p><a href="https://github.com/pzhat/Command_Injection_Lab">GitHub</a></p> https://blog.pzhat.id.vn/posts/2025-09-09-pickle-rick-thm/ Thu, 20 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-09-pickle-rick-thm/ <h1 id="tryhackme-pickle-rick-challenge-writeup-by-phatmh">TryHackme Pickle Rick Challenge WriteUp by Phatmh.</h1> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/HyFRp7ONel.png"> [link challenge]:https://tryhackme.com/room/picklerick <img alt="image" loading="lazy" src="https://hackmd.io/_uploads/SJcZC7_4ll.png"> Tiến hành dùng Openvpn kết nối với <em><strong>Tryhackme.</strong></em> <img alt="image" loading="lazy" src="https://hackmd.io/_uploads/BkYLRXOEex.png"> Tiến hành kiểm tra mình đã cùng mạng mới máy bên Tryhackme hay chưa.<img alt="image" loading="lazy" src="https://hackmd.io/_uploads/rk9dCQ_Nlx.png"> Câu hỏi và Ip của challenge nãy đã test và kết nối thành công.</p> <h3 id="bước-1-recon">Bước 1: Recon</h3> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/SkoGJEuVlg.png"> Sử dụng Nmap để tiến hành kiểm tra xem có port nào đang được mở ra, ở đây phát hiện ra được bên máy đang mở port 22/tcp và port 88/tcp ở đây tôi nghĩ là server nạn nhân đang chạy <em><strong>SSH và HTTP</strong></em>.</p> https://blog.pzhat.id.vn/posts/2025-09-09-fileupload-servlet/ Wed, 19 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-09-fileupload-servlet/ <h1 id="java-servlet-fileupload-vulnerability-by-phatmh">Java Servlet FileUpload Vulnerability by @Phatmh</h1> <h3 id="lỗ-hổng-file-upload">Lỗ hổng File Upload</h3> <p>Bản chất của File Upload: File Upload đối với tôi nó đơn giản chỉ là lợi dụng Unsafe Method để truyền một Untrusted Data vào nhằm thay đổi hành vi của hệ thống trong trường hợp này là Web App, với FileUpload những gì User Upload lên sẽ chính là Untrusted Data và với Feature Upload File như này sẽ thế nào nếu nó không được Validate một cách cẩn thận ta sẽ đến với DEMO bằng Java Servlet.</p> https://blog.pzhat.id.vn/posts/2025-09-09-cookie-arena-cmdi/ Tue, 18 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-09-cookie-arena-cmdi/ <h1 id="cookie-arena-web-challenges-writeup-by-phatmh">Cookie Arena Web Challenges WriteUp by (@Phatmh)</h1> <h3 id="nslookup-level-1">NSLookup (Level 1)</h3> <p>Đây là một Website có chức năng là nslookup sử dụng hàm shell_exec của php để thực thi. Ta tiến hành truy cập để xem giao diện của web app.<br> <img alt="image" loading="lazy" src="https://hackmd.io/_uploads/SJGVV2iSgg.png"><br> Ở đây ta thấy nó khá là basic khi chỉ có duy nhất một nơi có chức năng nslookup và bên cạnh là source code cho sẵn của chall, ta sẽ tiến hành phân tích source code được cấp sẵn.<br> <img alt="image" loading="lazy" src="https://hackmd.io/_uploads/H1wz8niHel.png"></p> https://blog.pzhat.id.vn/posts/2025-09-09-canteenfood-ctf-challenge-writeup/ Mon, 17 Nov 2025 00:00:00 +0700 https://blog.pzhat.id.vn/posts/2025-09-09-canteenfood-ctf-challenge-writeup/ <h1 id="canteenfood-ctf-challenge-writeup-by-phatmh">CanteenFood CTF Challenge WriteUp by @Phatmh</h1> <h2 id="tiến-hành-phân-tích-chức-năng-theo-kiểu-blackbox">Tiến hành phân tích chức năng theo kiểu BlackBox</h2> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/SJOQlrxHxx.png"></p> <p>Đây là một trang Web có chức năng cho <code>User</code> tìm kiếm được món ăn phù hợp với túi tiền của mình nhất bằng cách nhập số tiền mình mong muốn nó sẽ trả về món mà mình đủ tiền trả.</p> <p><img alt="image" loading="lazy" src="https://hackmd.io/_uploads/rJesxBgBxx.png"></p> <p>Ở đây sau khi viết ra số 300 và tiến hành bấm chức năng thì nó trả về được list các món dưới 300.</p>