New bug of Mobifone SMS - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thông tin new bugs và exploits

New bug of Mobifone SMS

[Discussion] New bug of Mobifone SMS	12/05/2007 05:54:21 (+0700) \| #1 \| 58558

kdot
Member

Joined: 28/10/2005 10:53:37
Messages: 84
Offline

//----------------------------------
Site: http://www.mobifone.com.vn/
Bug: Free SMS
Found by: KDOT
//----------------------------------

Sơ lược:
-Khai thác dịch vụ gửi tin nhắn miến phí qua mạng của Mobifone để gửi tin nhắn với số lượng không hạn chế, không mất tiền, thậm chí gửi nhiều tin cùng một lúc tới một số máy (SPAM SMS -BOMB SMS)

Đánh giá:
-Tương đối nguy hiểm
-Có thể bị lợi dụng để gây thiệt hại cho nhà cung cấp (là Mobifone - do hoàn toàn miễn phí)
-Gây thiệt hại cho người sử dụng (nếu bị khai thác tính năng SPAM SMS - BOMB SMS)

Chi tiết:
Tôi nói luôn, có thể nhiều người sẽ nghi ngờ khi nghe nói đến gửi tin nhắn miễn phí qua mạng. Bản thân tôi cũng không tin khi mới phát hiện ra lỗi này, tuy nhiên, sau hơn một tháng, kiên trì với khoảng hơn 1000 tin nhắn, tôi đã tin chắc là site của Mobifone bị lỗi.

Vấn đề nằm ở giao thức POST và GET trong site của Mobifone, chỉ bằng vài công cụ đơn giản tôi đã GET được toàn bộ tham số để gửi một tin nhắn đến một thuê bao khác khi sử dụng dịch vụ nhắn tin miễn phí của Mobi.

Nó có dạng như sau:
Code:

http://www.mobifone.com.vn/vietnamese/sms/result.jsp?smsTplId=&mSelect=&pbList=&CCode=84&phonenum=84904xxxxxx&message=abc%0D%0AMobiFone+them+468+tram+phat+song+moi&advFlg=ON&chargeFlg=1

Ngạc nhiên là khi gõ nguyên dòng lệnh như trên vào (tức là sử dụng giao thức GET,đưa toàn bộ các tham số lên địa chỉ) người dùng vẫn có thể gửi tin nhắn bình thường như khi sử dụng form gửi tin nhắn trong site của Mobifone (dùng giao thức POST). Đây là lỗi quan trọng nhất, từ nó dẫn đến việc khai thác các lỗi tiếp theo.

Chúng ta quan tâm đến 4 tham số:
1.phonenum: chính là số máy nhận tin nhắn.
2. Message: đây chính là nội dung tin nhắn.
3. advFlg: cờ hiệu, cho biết đây là loại tin có sử dụng quảng cáo hay không. Cờ này sẽ quyết định thuê bao có bị trừ tiền hay không.
4. chargeFlg: lượng tin miễn phí bị trừ đi trong ngày của thuê bao hiện tại.

Thông thường, khi người sử dụng gửi tin nhắn miễn phí qua mạng thì:
1. phonenum sẽ là số của Mobi có dạng 8490xxxxxxx hoặc 8493xxxxxxx
2. Trong phần cuối của Message sẽ là nội dung quảng cáo do Mobifone thêm vào. Chẳng hạn: "Mobifone thêm 468 trạm thu phát sóng"....
3.advFlag = ON
4. chargeFlg = 1

Cách khai thác:
1. thay phonenum bằng bất kỳ số máy di dộng nào tùy bạn, không cớ gì là Mobi, Vina hay Viettel...
2. Chỉ cần xóa đoạn text quảng cáo trên trong đoạn địa chỉ trên là người dùng có thể gửi tin nhắn miễn phí một cách đường hoàng mà không hề có quảng cáo.
3. giữ nguyên advFlg = ON để đảm bảo khi gửi tin nhắn sẽ không bị trừ tiền.
4.chargeFlg = 0 để đảm bảo số tin nhắn miễn phí còn lại trong ngày không bị trừ đi, luôn luôn giữ ở mức là 5 (như ban đầu), tức là có thể gửi tin nhắn theo cách trên với số lượng không hạn chế!

Vậy đoạn địa chỉ sau hoàn toàn có thể được sử dụng để gửi tin nhắn đến một thuê bao khác mà không mất phí, không QC, không bị hạn chế số lượng.

Code:

http://www.mobifone.com.vn/vietnamese/sms/result.jsp?smsTplId=&mSelect=&pbList=&CCode=84&phonenum=849xxxxxxxx&message=abc&advFlg=ON&chargeFlg=0

Vấn đề là ở chỗ:
1. Mobifone đã sơ hở khi không kiểm soát 2 giao thức là POST và GET mà đánh đồng chúng với nhau.
2. Việc chèn nội dung quảng cáo không nên thực hiện ở phía web browser (một đoạn Javascript) mà nên thực hiện ở phía server.
3. Việc ra quyết định thực hiện các hành động kông nên chỉ dựa vào một tham số (như trên đã nói) mà nên cùng lúc kiểm tra đồng thời nhiều tham số, nếu cùng thỏa mãn thì mới ra quyết định hành động tương ứng. (Chẳng hạn như cặp biến advFlag và chargeFlg phải là (ON,1) mới đảm bảo người dùng được phép gửi tin miễn phí, ngoài ra, tất cả đều phải Deny).
4. Khi đã biết được chuỗi GET để gửi tin nhắn như trên, kẻ xấu hoàn toàn có thể lợi dụng để viết một trang web đơn giản sử dụng JS, tạo một vòng lặp, liên tục gửi tin đến một số thuê bao => đấy là SPAM SMS.

Trên đây là một số tìm hiểu và nhận định của tôi. Mong các bạn ủng hộ và cho ý kiến để cùng đưa ra giải pháp khắc phục.

By: KDOT

[Question] New bug of Mobifone SMS	12/05/2007 08:38:23 (+0700) \| #2 \| 58585

ntvinhie47
Member

Joined: 31/12/2004 15:23:01
Messages: 7
Offline

Mình cũng đã từng tìm hiểu về vấn đề gửi SMS này, và mình thấy không có gì là lỗi bảo mật ở đây cả, sau đây là một số ý kiến của mình:
1. Nếu bạn dùng GET thì cũng chả sao cả, vẫn gửi được tin nhắn nhưng các tham số bị giới hạn. Ví dụ: nếu có một texteare để nhập vào nội dung tin nhắn thì bạn bắt buộc phải gõ liền, ko có dấu cách (hoặc thay bằng bất cứ kí tự gì để dễ đọc như _,...)
2. Việc quảng cáo hay không thì chả ảnh hưởng gì, vì nếu có quảng cáo thì server sẽ kiểm tra và không trừ tiền, ngược lại thì có.
3. Mình chưa thử với mobiphone nhưng với viettel thì cho dù có để số tin nhắn miễn phí còn lại là bao nhiêu đi nữa cũng vô ích vì ở server sẽ lại kiểm tra lại lần nữa.
4. Trước khi gửi có thể server sẽ kiểm tra cookie do đó bạn cần phải đăng nhập rồi mới có thể thực hiện được việc gửi tin nhắn.

Ngoài ra có thể dùng Http Live header để biết được gói tin gửi đi như thế nào smilie

[Question] Re: New bug of Mobifone SMS	12/05/2007 08:57:07 (+0700) \| #3 \| 58586

darthtuan
HVA Friend

Joined: 10/08/2003 11:57:02
Messages: 312
Location: Trại cai nghiện
Offline

Nó vẫn cho phép có dấu cách đấy chứ.

[Question] New bug of Mobifone SMS	12/05/2007 10:36:00 (+0700) \| #4 \| 58606

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Cách này Hoàng thử lâu rồi, MobiFone không trừ ngay mà đợi 1 khoảng thời gian khá lâu (vài ngày ?) mới trừ 1 lần smilie

[Question] Re: New bug of Mobifone SMS	12/05/2007 17:21:10 (+0700) \| #5 \| 58656

ntvinhie47
Member

Joined: 31/12/2004 15:23:01
Messages: 7
Offline

darthtuan wrote:

Nó vẫn cho phép có dấu cách đấy chứ.

Đã là gửi theo GET thì khi bạn cho dấu cách vào thì thông tin sẽ bị mất mát, bạn thử xem smilie

)

[Question] New bug of Mobifone SMS	12/05/2007 22:20:30 (+0700) \| #6 \| 58684

kdot
Member

Joined: 28/10/2005 10:53:37
Messages: 84
Offline

ntvinhie47 wrote:

Mình cũng đã từng tìm hiểu về vấn đề gửi SMS này, và mình thấy không có gì là lỗi bảo mật ở đây cả, sau đây là một số ý kiến của mình:
1. Nếu bạn dùng GET thì cũng chả sao cả, vẫn gửi được tin nhắn nhưng các tham số bị giới hạn. Ví dụ: nếu có một texteare để nhập vào nội dung tin nhắn thì bạn bắt buộc phải gõ liền, ko có dấu cách (hoặc thay bằng bất cứ kí tự gì để dễ đọc như _,...)
2. Việc quảng cáo hay không thì chả ảnh hưởng gì, vì nếu có quảng cáo thì server sẽ kiểm tra và không trừ tiền, ngược lại thì có.
3. Mình chưa thử với mobiphone nhưng với viettel thì cho dù có để số tin nhắn miễn phí còn lại là bao nhiêu đi nữa cũng vô ích vì ở server sẽ lại kiểm tra lại lần nữa.
4. Trước khi gửi có thể server sẽ kiểm tra cookie do đó bạn cần phải đăng nhập rồi mới có thể thực hiện được việc gửi tin nhắn.

Ngoài ra có thể dùng Http Live header để biết được gói tin gửi đi như thế nào

1. Cái này bạn darthtuan đã trả lời bạn rồi. Trình duyệt sẽ tự động thay dấu cách bằng %20, và khi máy di động nhận được tin nhắn trên, nó sẽ hiển thị lại dấu cách như bình thường. Không có chuyện "mất mát" gì như bạn nói đâu.

2&3. Đấy là vấn đề tôi đang nói đến. Nếu như Mobifone làm như bạn nói thì tôi đã chẳng viết bài này ở đây làm gì. Tôi cũng đã thử check Viettel và Vina, họ không mắc lỗi tương tự.

4. Tôi có bảo là không phải đăng nhập đâu. Người dùng vẫn sử dụng TK số mobile như bình thường như khi họ sử dụng dịch vụ trong trang của mobifone mà. Vấn đề ở đây là họ sẽ không bị trừ tiền.

[Question] New bug of Mobifone SMS	12/05/2007 22:27:35 (+0700) \| #7 \| 58688

kdot
Member

Joined: 28/10/2005 10:53:37
Messages: 84
Offline

LeVuHoang wrote:

Cách này Hoàng thử lâu rồi, MobiFone không trừ ngay mà đợi 1 khoảng thời gian khá lâu (vài ngày ?) mới trừ 1 lần

Bạn nói đúng, Mobifone trừ tiền rất chậm, khoảng 1-2 ngày. Do đó, tôi đã phải dành ra một khỏang thời gian khá dài (hơn 1 tháng) để test thật kỹ bug trên. Và sau hơn một tháng đấy, với khoảng hơn 1000 tin nhắn, TK vẫn không hề bị trừ tiền mà giữ nguyên mức ban đầu.

Các bạn có thể tin tưởng rằng, trước khi nêu ra bug này, tôi đã test rất kỹ, chứ không chỉ là "nhận định xuông" đâu.

[Question] Re: New bug of Mobifone SMS	13/05/2007 02:42:13 (+0700) \| #8 \| 58744

hackermientay
Member

Joined: 27/06/2006 23:21:20
Messages: 35
Offline

Hì, cái này post hay get cũng dc ráo mà, chỉ có điều quan trọng nhất là 2 cái này:
Code:

<input type=hidden name=chargeFlg value=1>

Code:

checkdata('MobiFone giam 10% cuoc noi mang tu 1/5');

Có sửa code lại chút, là vầy, phải thỏa cả 2 thì miễn phí, trừ 1 tin mỗi lần nt, thiếu 1 trong 2 (đổi số value=1 thành số khác 1 cũng thuộc trường hợp này) cũng bị trừ như thường, chả bít phải vậy hông smilie

Đã check, trên trang ds các bản tin đã gửi thấy nó ghi có tính cước (nếu ko thỏa), còn có trừ hay ko thì chưa bít, mới ngồi có nửa giờ chưa thấy trừ smilie

)

[Question] New bug of Mobifone SMS	13/05/2007 14:27:06 (+0700) \| #9 \| 58848

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

kdot wrote:

Các bạn có thể tin tưởng rằng, trước khi nêu ra bug này, tôi đã test rất kỹ, chứ không chỉ là "nhận định xuông" đâu.

Hoàng không rõ, nhưng theo test của Hoàng cách đây vài tháng thì sau 1 thời gian sẽ không dùng được nữa (hoặc có thể do SIM của Hoàng hết tiền ?) smilie

[Question] New bug of Mobifone SMS	14/05/2007 03:53:03 (+0700) \| #10 \| 58941

ntvinhie47
Member

Joined: 31/12/2004 15:23:01
Messages: 7
Offline

Mình vừa thử, gửi xong một GET request thì trả về thông báo bắt đăng nhập.

[Question] New bug of Mobifone SMS	14/05/2007 07:41:39 (+0700) \| #11 \| 58976

hackermientay
Member

Joined: 27/06/2006 23:21:20
Messages: 35
Offline

ntvinhie47 wrote:

Mình vừa thử, gửi xong một GET request thì trả về thông báo bắt đăng nhập.

Đăng nhập vô trước đã, vô trang nhắn tin rồi copy đường link dán vô

[Question] New bug of Mobifone SMS	14/05/2007 08:22:16 (+0700) \| #12 \| 58982

loveone
Member

Joined: 13/05/2007 20:48:35
Messages: 1
Offline

Mình cũng đã test thử rồi nhưng nhận được thông báo : tin nhắn không được gửi, các tham số không đủ.

[Question] New bug of Mobifone SMS	20/05/2007 22:13:42 (+0700) \| #13 \| 60476

kdot
Member

Joined: 28/10/2005 10:53:37
Messages: 84
Offline

Có vẻ như Mobifone đã fix lỗi này rồi.
Fix rồi mà cứ im im thế này, quá tệ. smilie

[Question] New bug of Mobifone SMS	15/06/2007 05:14:46 (+0700) \| #14 \| 64720

dafvph
Member

Joined: 28/06/2006 00:23:54
Messages: 23
Location: http://vietkim99.blogspot.com
Offline

Nghe có vẻ hay wa ... ?!
Nhưng Fix mất rồi , ak ak,

[Question] Re: New bug of Mobifone SMS	15/06/2007 10:02:55 (+0700) \| #15 \| 64774

lonely_Xorhandsome
Elite Member

Joined: 26/06/2006 12:14:07
Messages: 558
Location: HCM beside you !
Offline

gần đây mobile fone có nhiều hiện tượng rất.........rất củ chưối.

[Question] New bug of Mobifone SMS	17/06/2007 11:25:40 (+0700) \| #16 \| 65201

Z0rr0
Q+WRtaW5pc3RyYXRvc+g

Joined: 14/08/2002 12:52:01
Messages: 1323
Location: Underground
Offline

Mobifone hỗ trợ free mỗi ngày 5 free SMS từ 1 số của mobi đấy mấy bồ.
Thử tìm cách gửi từ 1 số không phải mobi xem?
Ngoài ra thử gửi free quá 5 SMS.

Hibernating

[Question] Re: New bug of Mobifone SMS	23/10/2007 02:00:38 (+0700) \| #17 \| 92226

rocker28
Member

Joined: 22/10/2007 12:26:25
Messages: 1
Offline

có 1 lỗi của mobifone mà mình vô tình phát hiện ra, đó là trừ tiền rất chậm cho nên mình có 1 mánh khóe bomb SMS rất tốt đó là cứ nạp Mobi Easy 10k/1SIM thui, rồi sử dụng dịch vụ SMS của mobifone.com.vn, cứ gửi bằng cách gửi tính tiền, nhưng mỗi lần gửi mình gửi cho 50 số di động và gửi liên tục, mình đã test rất hữu ích, mobifone sẽ cho 1 SIM được gửi tối đa 300SMS mỗi ngày như vậy với 10k mình gửi được SMS với số tiền đến khoảng 100K (nếu tính trung bình 1 SMS là 350 đồng)

[Question] Re: New bug of Mobifone SMS	09/11/2007 00:48:06 (+0700) \| #18 \| 96236

Mr.Smith
Member

Joined: 31/08/2007 20:50:07
Messages: 22
Offline

Cái này tôi nghĩ mobifone fix rồi, thường các nhà cung cấp bây giờ để thời gian trừ tiền trong khoảng 10 phút, do vậy ko áp dụng cách này được nữa

[Question] Re: New bug of Mobifone SMS	09/11/2007 12:20:22 (+0700) \| #19 \| 96393

blueocean89
Member

Joined: 31/08/2007 12:06:33
Messages: 156
Location: r00f
Offline

Dù sao đây vẫn là một 'sơ suất' thú vị ^^ và hơn nữa là người viết trình bày khá rõ ràng. gud job!

trons pacrette tiolpsatem otkin ypacs

[Question] Re: New bug of Mobifone SMS	23/02/2008 00:50:44 (+0700) \| #20 \| 116090

CK
Member

Joined: 17/02/2008 03:14:35
Messages: 22
Location: vn
Offline

post hay get thì khác quái gì nhau đâu. smilie

[Question] Re: New bug of Mobifone SMS	23/02/2008 02:31:53 (+0700) \| #21 \| 116137

Z0rr0
Q+WRtaW5pc3RyYXRvc+g

Joined: 14/08/2002 12:52:01
Messages: 1323
Location: Underground
Offline

CK wrote:

post hay get thì khác quái gì nhau đâu.

Nếu không khác thì người ta tạo ra làm gì 2 cái chứ smilie

Bồ chịu khó coi kĩ lại HTTP method và HTML spec http://www.w3.org/MarkUp/html-spec/html-spec_toc.html

Hibernating

Go to:

Users currently in here
1 Anonymous