Posts by MAYASEVEN Team

Cracking, CTF, Hacking, Reverse Engineering

สวัสดีครับผู้อ่านทุกท่าน ทีม MAYASEVEN มีโอกาสได้เข้าร่วมแข่งขันงาน TCSD CTF เจอโจทย์ข้อ Hello World #2 ข้อนี้ค่อนข้างน่าสนใจในเรื่องการ bypass custom stack canary และผมคิดว่าผู้อ่านน่าจะได้เรียนรู้เพิ่มเติมจากโจทย์ข้อนี้ทั้งในแง่มุมของ reverse engineering และ buffer overflow exploitation ผมเลยเขียนบทความนี้เพื่อช่วยเผยแพร่ความรู้เทคนิคขั้นสูงให้ Thai cybersecurity community ครับ มาเริ่มกันเลย ผมจะสรุปพื้นฐานความรู้ที่จำเป็นสั้นๆ ในการทำความเข้าใจบทความนี้ก่อน…

[CVE-2019-12562] Stored Cross-Site Scripting in DotNetNuke (DNN) Version before 9.4.0

September 27, 2019

In May 2019, MAYASEVEN Researchers identified a vulnerability in DotNetNuke (DNN), an open-source web content management system and web application framework based on Microsoft .NET. More than 2,000 organizations worldwide…

[Write-up] I love video soooooooo much TH Capture the Packet

September 26, 2019

CTF, Hacking

กราบสวัสดีผู้อ่านทุกท่านทาง MAYASEVEN จะมาเฉลยวิธีแก้โจทย์ข้อ I love video soooooooo much 300 คะแนน ซึ่งเป็นข้อคะแนนสูงสุดอีก 1 ข้อ ของงานแข่ง Thai “Capture the Packet” Contest ในรอบออนไลน์กันครับ ผมหวังว่าผู้อ่านจะได้รับความรู้จากบทความนี้ครับ หรืออยากให้เราเขียนเฉลยข้อไหนก็ comment ทิ้งไว้ได้เลยครับ ถ้ามีผู้สนใจเยอะเราจะเขียนให้แน่นอน 🙂 อันดับแรกเราใช้ Wireshark เปิดไฟล์ CTP_Rolld.pcap…

[Write-up] Covert Channel 4 TH Capture the Packet

September 26, 2019

CTF, Hacking

กราบสวัสดีผู้อ่านทุกท่าน หลังจากที่ทีม MAYASEVEN ได้มีส่วนร่วมในการแข่งขัน Thai “Capture the Packet” Contest และทำโจทย์ได้ครบทุกข้อในรอบออนไลน์ ทางทีมมีความรู้สึกสนุกกับการแข่งขันอย่างมาก จึงอยากจะแชร์วิธีการแก้โจทย์ให้ผู้อ่านได้สามารถทำตามและทำความเข้าใจได้อย่างง่าย ๆ กันครับ โดยเลือกหนึ่งในสองข้อยาก นั่นก็คือข้อ Covert Channel 4 มาเฉลย มาเริ่มกันเลย! จากโจทย์เราจะได้ไฟล์pcapมาหนึ่งไฟล์ชื่อว่า covert_channel3.pcap (จริงๆ ชื่อไฟล์น่าจะเป็น covert_channel4.pcap แต่สงสัยทางผู้จัดงานลืมแก้ชื่อไฟล์!!!) เราก็ใช้ Wireshark เปิดไฟล์…

[Write-up] War is so dangerous Reverse 250 Thailand CTF 2019

September 23, 2019

Cracking, CTF, Reverse Engineering

กราบสวัสดีผู้อ่านทุกท่าน บทความนี้เราจะมาชำแหละโจทย์ข้อ Reverse 250 War is so dangerous กันอย่างละเอียด โดยเราจะเฉลยวิธีแก้โจทย์นี้ทั้งหมด 3 แบบ จากยากไปง่าย เพื่อให้ผู้อ่านได้เรียนรู้กระบวนการทำ reverse engineering เพิ่มเติมจากโจทย์ข้อนี้ไปด้วยกัน ก่อนอื่นต้องขอแสดงความยินดีกับสมาชิกทีม MAYASEVEN ที่ได้เข้าร่วมแข่งขันงาน Thailand CTF 2019 และได้อันดับที่ 1 ตบมือ… มาเริ่มกันครับ เริ่มต้นโจทย์นี้ให้ไฟล์ชื่อว่า ezrev มา…

Third-Party Software Help or Harm

September 11, 2019

Adminer, case study, Third party software

Case Study, Hacking, Security

“Have you ever used third-party software in your production, and did you trust them?” The third-party software is supplied or developed for a particular purpose by different companies and developers,…

[CVE-2019-11013] Directory Traversal in Nimble Streamer version 3.0.2-2 to 3.5.4-9

August 18, 2019

While we had been performing penetration testing to our client, we found a vulnerability in one of our client’s third-party services. Now, we have already reported this vulnerability to our…

[Facebook] OWASP 2013 A10 0day by MAYASEVEN

December 29, 2018

ปล่อยอีกหนึ่งผลงานช่องโหว่ของ facebook โดยทีม MAYASEVEN ครับ ช่องโหว่นี้ ตอนนี้ยังเป็น 0day นะครับคือ facebook ไม่แก้ไข และ facebook ก็ไม่จ่ายเงินเหมือนเดิมครับ 555+ ถึงแม้จะเป็นหนึ่งในความเสี่ยงสูงสุด 10 อันดับแรกของ OWASP top 10 2013 สำหรับบทความนี้ผมขอปล่อยเป็นคลิปอธิบายแล้วกันครับ โดยผมตัดคลิปมาจากคลิปที่ใช้สอนในคอร์ส แหกเว็บ Web Application Hacking and Ethical…

[Facebook] cheat boost premiere video post by MAYASEVEN

December 28, 2018

สวัสดีครับผู้อ่านทุกท่านโพสนี้เป็นงาน research ที่ทาง MAYASEVEN เจอช่องโหว่ของ facebook ในฟังก์ชันการ boost premiere video ฟังก์ชันการโพสวิดีโอแบบ premiere นั้นเป็นฟังก์ชันใหม่ของ facebook พึ่งเปิดให้ใช้ไม่กี่เดือนมานี้เอง โดยสิ่งที่มันแตกต่างจากการโพสวิดีโอแบบธรรมดาคือมันสามารถเล่นวิดีโอเปรียบเสมือ live สดแถมมีแจ้งเตือนผู้คนเหมือน live สดด้วย ข้อดีแบบนี้ facebook ก็ได้มีการกำหนดมาว่าการโพสวิดีโอแบบ premiere video นั้นห้าม boost post นะ เนื่องจาก…

Penetration Testing Methodology ที่ MAYASEVEN เลือกใช้

September 27, 2018

Security, Uncategorized

hack, hacker, methodology, penetration testing, pentest, วิธีการเจาะระบบ, แฮค