MITRE ATT&CK là gì?

MITRE ATTCK (MITER AT&CK) là một framework mở chứa các chiến thuật và kỹ thuật tấn công trong thực tế. Framework này hoàn toàn miễn phí, nó cung cấp nhiều công cụ khác nhau để bảo vệ dữ liệu hoặc hệ thống an ninh.

Framework này cho phép chúng ta sử dụng chung một bộ nguyên tắc giao tiếp với các nhóm an ninh mạng khác gồm red team, blue team, SecOps,… Ngoài ra, nó cũng bắt chước hành vi và chiến thuật của kẻ tấn công nhằm giúp ta xác định rủi ro và chuẩn bị phương pháp phòng thủ để chống lại các cuộc tấn công có thể xảy ra. Vậy nên đây là một nguồn tài nguyên tuyệt vời dành cho các nhóm bảo mật CNTT.

Mặc dù nó mang lại rất nhiều lợi ích nhưng nó vẫn là một công cụ, nên nó không hoàn hảo. MITER AT&CK có một số hạn chế vì không phải tất cả các kỹ thuật đều độc hại, vậy nên nó có thể phát hiện một số kỹ thuật không phải là rủi ro thực sự.

Tuy nhiên, ưu điểm của nó lớn hơn nhược điểm mà nó mang lại. Vậy nên mình nghĩ bạn nên dùng thử, biết đâu nó lại có ích cho hệ thống của bạn.

Cách sử dụng MITRE ATTCK

Trên thực tế, Framework này chỉ mô tả và phân loại hành vi độc hại, vì vậy chúng ta cần một công cụ để áp dụng tất cả thông tin mà nó cung cấp.

Bạn có thể triển khai nó bằng cách ánh xạ hoặc tích hợp liên tục (CI/CD) bằng các công cụ an ninh mạng khác nhau. Phương pháp thông thường nhất là sử dụng các công cụ như Security Information and Event Management (SIEM) hoặc Cloud Acess Security Broker (CASB).

Ngoài ra, bạn có thể triển khai nó trong môi trường CI/CD của mình bằng các công cụ như GitLab hoặc Jenkins.

Sử dụng MITRE ATTCK với Kubescape Cloud

Có rất nhiều công cụ khác nhau để quét và bảo mật hệ thống bằng MITRE ATTCK. Nhưng trong bài viết này, mình sẽ sử dụng công cụ mã nguồn mở Kubescape.

Kubescape là một công cụ mã nguồn mở dùng để quét lỗ hổng bảo mật trên các cụm K8s và tệp YAML, nó kiểm tra các lỗ hổng phần mềm bằng cách sử dụng RBAC và phân tích rủi ro, đồng thời phát hiện cấu hình sai theo nhiều Framework khác nhau, bao gồm Khung MITRE ATTCK.

Demo đơn giản sử dụng Linux

Mình chỉ demo đơn giản vì theo nhu cầu của từng người thì quá trình sẽ khá khác nhau. Các bạn chỉ cần 3 bước để sử dụng Kubescape.

Bước 1: Tải Kubescape.

Mình sẽ tải Kubescape xuống máy có Kubectl. Vậy nên, bạn cần phải cài Kubectl và có cluster đang chạy. Sau đó, bạn chỉ cần mở terminal và chạy lệnh dưới:

url -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash

Bước 2: Chạy kubescape. Sau khi cài đặt thành công Kubescape, bạn có thể quét hệ thống bằng lệnh dưới đây:

kubescape scan --submit

Như các bạn thấy, cluster mà mình tạo có khá nhiều rủi ro. Ngoài ra, bạn cũng có thể xuất kết quả quét sang định dạng PDF.

Câu hỏi thường gặp

MITRE ATT&CK là gì và tại sao nó lại quan trọng?

MITRE ATT&CK là một framework mở, miễn phí, cung cấp danh mục các chiến thuật và kỹ thuật tấn công mạng. Nó giúp các chuyên gia an ninh mạng hiểu rõ hơn về hành vi của tin tặc, từ đó xác định và khắc phục lỗ hổng bảo mật trong hệ thống.

Tôi có thể sử dụng MITRE ATT&CK như thế nào để quét lỗ hổng hệ thống?

MITRE ATT&CK tự nó không phải là công cụ quét. Bạn cần kết hợp nó với các công cụ khác như SIEM, CASB hoặc các công cụ mã nguồn mở như Kubescape để quét và phân tích lỗ hổng dựa trên các chiến thuật và kỹ thuật được định nghĩa trong framework.

Kubescape là gì và nó liên quan đến MITRE ATT&CK như thế nào?

Kubescape là một công cụ mã nguồn mở giúp quét lỗ hổng bảo mật trong các cụm Kubernetes. Nó tích hợp với MITRE ATT&CK, cho phép bạn xác định các lỗ hổng dựa trên các chiến thuật và kỹ thuật tấn công được mô tả trong framework này.

Nuclei là bộ công cụ mã nguồn mở được sử dụng để rà quét lỗ hổng bảo mật Website hay còn gọi là tìm Bug. Một số Bug Hunter đang sử dụng công cụ này sẵn lỗi nhận tiền thưởng từ các Website có mật bảo yếu. Điểm đặc biệt mà Nuclei được nhiều Hacker ưa chuộng là có một cộng đồng người dùng lớn và các Template mã lỗi luôn được cập nhật thường xuyên, vì vậy khi có một lỗ hổng vừa ra đời thì Nuclei đã có template để scan rồi.

Một điểm nổi bậc khác là Nuclei hoàn toàn miễn phí và bạn có thể tùy biến cách scan Website cũng như tự tạo template để scan bug Website theo ý thích của mình.

Nuclei có thể scan các giao thức khác nhau, bao gồm DNS, HTTP, TCP và nhiều giao thức khác. Tất cả các loại kiểm tra an ninh có thể được thực hiện bằng cách sử dụng các mẫu hạt nhân.

Cách cài đặt Nuclei

Nên tắt các chương trình diệt Virus trên Windows khi thực hiện Upgrade Kali Linux để tránh bị chặn các gói cài đặt. Để tiến hành cài Nuclei, bạn thực hiện các lệnh sau trên Kali Linux:

sudo su

Nhập Password user

apt-get update -y

apt-get upgrade -y

Do nuclei được viết trên ngôn ngữ Goland, do đó chúng ta cần phải cài Goland trên Kali Linux, thực hiện các lệnh sau:

apt install gccgo-go -y
apt install golang-go -y

Tiến hành cài Nuclei để rà quét lỗ hổng bảo mật Website

git clone https://github.com/projectdiscovery/nuclei.git; \
cd nuclei/v2/cmd/nuclei; \
go build; \
mv nuclei /usr/local/bin/; \
nuclei -version;

Sau khi cài xong, gõ lệnh nuclei -h để khởi động

Trường hợp nuclei báo outdated, là do bạn tải bản cũ. Hãy thực hiện lại lệnh update template.

Dùng lệnh:
go install -v github.com/projectdiscovery/nuclei/v2/cmd/nuclei@latest


sudo nuclei -update

Nếu thành công bạn sẽ thấy giao diện sau:

Nếu bạn muốn dùng nuclei để tìm Bug Website trên Windows hãy tải phiên bản nuclei Windows về để sử dụng nhé.

Cách dùng Nuclei để quét lỗ hổng Website

Để tiến hành tìm Bug Website chúng ta thực hiện lệnh như sau:

nuclei -u địa-chỉ-website

Ví dụ: nuclei -u https://domain.com

Trường hợp một số Website sẽ có tường lửa (WAF) và chặn các tiến trình scan, bạn có thể giảm tần số gửi request tới server bằng rate-limit. Hãy dùng tham số: --rate-limit.

Ví dụ: nuclei -u https://domain.com -rate-limit 1 //tức là gửi  1 giây gửi 1 request

Để bypass WAF, bạn có thể đổi Header gói tin để tránh bị chặn, với tham số -h

Ví dụ: nuclei -u https://domain.com -rate-limit 1 -header 'User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64)'

Trường hợp bạn muốn quét nhiều trang Web, hãy tạo 1 file tên là url.txt, mỗi dòng điền 1 trang Web, sau đó dùng cú pháp -list url.txt

Bạn có thể xem thêm 1 số ví dụ khi quét lỗ hổng Website tại trang chủ của nuclei.

Câu hỏi thường gặp

Nuclei có hoạt động trên hệ điều hành Windows không?

Có, Nuclei có phiên bản dành cho Windows. Bạn có thể tải xuống phiên bản dành cho Windows từ trang phát hành chính thức của Nuclei trên GitHub.

Tôi cần cài đặt phần mềm nào khác ngoài Nuclei để sử dụng nó?

Để cài đặt Nuclei trên hệ thống Linux dựa trên Debian/Ubuntu (như Kali Linux), bạn cần cài đặt `gccgo-go` và `golang-go`. Trên Windows, không cần cài đặt thêm phần mềm nào khác.

Làm sao để cập nhật Nuclei lên phiên bản mới nhất?

Bạn có thể cập nhật Nuclei bằng lệnh go install -v github.com/projectdiscovery/nuclei/v2/cmd/nuclei@latest sau đó chạy sudo nuclei -update (trên Linux). Hoặc tải trực tiếp phiên bản mới nhất từ trang phát hành trên GitHub.

Ngoài cách đổi Header, bạn cần chú ý chỉnh user-agent của Chrome, encoding về UTF-8, giảm tần số gửi Request. Như vậy khả năng Bypass WAF bằng các Tool scan vulnerability sẽ hiệu quả hơn.

Danh sách các Header dùng để Bypass WAF

X-Forwarded-Host
X-Forwarded-Port
X-Forwarded-Scheme
Origin:
nullOrigin: [siteDomain].attacker.com
X-Frame-Options: Allow
X-Forwarded-For: 127.0.0.1
X-Client-IP: 127.0.0.1
Client-IP: 127.0.0.1
Proxy-Host: 127.0.0.1
Request-Uri: 127.0.0.1
X-Forwarded: 127.0.0.1
X-Forwarded-By: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Forwarded-For-Original: 127.0.0.1
X-Forwarded-Host: 127.0.0.1
X-Forwarded-Server: 127.0.0.1
X-Forwarder-For: 127.0.0.1
X-Forward-For: 127.0.0.1
Base-Url: 127.0.0.1
Http-Url: 127.0.0.1
Proxy-Url: 127.0.0.1
Redirect: 127.0.0.1
Real-Ip: 127.0.0.1
Referer: 127.0.0.1
Referrer: 127.0.0.1
Refferer: 127.0.0.1
Uri: 127.0.0.1
Url: 127.0.0.1
X-Host: 127.0.0.1
X-Http-Destinationurl: 127.0.0.1
X-Http-Host-Override: 127.0.0.1
X-Original-Remote-Addr: 127.0.0.1
X-Original-Url: 127.0.0.1
X-Proxy-Url: 127.0.0.1
X-Rewrite-Url: 127.0.0.1
X-Real-Ip: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Custom-IP-Authorization:127.0.0.1
X-Originating-IP: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Original-Url:
X-Forwarded-Server:
X-Host:
X-Forwarded-Host:
X-Rewrite-Url:

Trong bài viết sau mình, sẽ hướng dẫn các quét lỗ hổng Website bằng Nuclei và cấu hình để bypass WAF khi bị chặn.

Câu hỏi thường gặp

Tôi có thể sử dụng những Header nào để bypass WAF?

Bài viết liệt kê nhiều Header có thể dùng để bypass WAF, bao gồm: X-Forwarded-Host, X-Forwarded-Port, X-Forwarded-Scheme, Origin, X-Frame-Options, và nhiều Header khác chứa địa chỉ IP 127.0.0.1. Tuy nhiên, hiệu quả của mỗi Header phụ thuộc vào cấu hình cụ thể của WAF.

Ngoài việc thay đổi Header, còn cách nào khác giúp tăng hiệu quả bypass WAF?

Bạn nên chỉnh sửa User-Agent của trình duyệt (ví dụ Chrome), đặt encoding về UTF-8 và giảm tần suất gửi request để tránh bị WAF phát hiện và chặn.

Mỗi công cụ quét lỗ hổng có cách thay đổi Header khác nhau phải không?

Đúng vậy. Cách thay đổi Header sẽ khác nhau tùy thuộc vào từng công cụ quét lỗ hổng. Bài viết tiếp theo sẽ hướng dẫn cụ thể cách cấu hình cho Nuclei để bypass WAF.

Cách dùng Tool Core RDP Scanner Để Lấy VPS Free

Nói tóm gọn lại cách hoạt động của Core RDP Scanner là quét list IP Public của VPS, sau đó dùng Tool để Brute Force Password. Đây cũng là cách mà Hacker đã tấn công vào các Password yếu, đơn giản để có thể remote các VPS đó.

Để có thể sử dụng thì trước hết bạn cần tải bộ tool về máy tính. Bấm vào link bên dưới để download về nhé.

Link Download Setup NMAP

( Link Mega Max Speed )

Link Download Core RDP Scanner

Sau khi Download về thì các bạn tiến hành giải nén 2 file RAR ra cùng 1 thư mục nhé.

Sau khi giải nén thì sẽ ra thì các file sẽ giống như hình.

Chúng ta tiến hành cài đặt nmap-7-setup.exe vào máy tính nhé.

Chú ý : Nhớ tắt hết anti virus khi sử dụng tool. Vì đây là tool crack nên anti sẽ nhận diện là virus và xóa 1 số file quan trọng dẫn đến tình trạng bị lỗi.

Ở đây khi cài đặt Nmap anh em nhớ tích hết nhé.

Sau khi cài đặt xong thì ấn Fnish để kết thúc quá trình setup phần mềm.

Sau khi quá trình cài đặt kết thúc tiến hành sang bước tiếp theo. Ở đây có 2 folder là SSH và RDP. Có nghĩa là 2 giao thức khác nhau. RDP là Remote Desktop Protocol còn SSH là Secure Shell.

Có thể nói dễ hiểu là nếu bạn muốn scan vps dạng Desktop thì vào RDP. Còn vps linux dùng terminal để sử dụng thì vào folder SSH.

Ở đây mình sẽ sử dụng VPS Windows nên vào RDP để quét nhé.

Các bạn tiến hành chạy file blah.bat để bắt đầu quá trình scan ip nhé. Bật vài tab để đẩy mức độ scan lên cao nhưng sẽ tốn tài nguyên máy tính. Nếu máy tính của bạn hoặc VPS đủ khỏe thì bật nhiều lên để scan nhanh cho đỡ lâu.

Sau khi đợi một khoảng thời gian để nó scan thì các bạn vào file results.txt để lấy ip vps để sang bước tiếp theo nhé.

Quay lại thư mục đầu, vào Folder Cracking và chạy file Core RDP.exe nhé.

Giao diện tool mở ra, các bạn tiến hành paste list ip vừa scan lúc nãy vào và ấn create list nhé.

Nếu Password List quá ít thì bạn có thể tải thêm ở bài này

Sau đó các bạn sẽ được chuyển sang tab check vps. Ở đây các bạn sẽ đợi nó check pass và user name. Check thành công sẽ ở cột good, sai thì ở bad.

Càng nhiều list ip thì tỷ lệ check ra càng cao. Bạn nên sử dụng vps để sử dụng tool 1 cách có hiệu quả nhé.

Xem Video hướng dẫn ở:

https://www.youtube.com/watch?v=ViF7CmCp_tc&feature=emb_title

Chúc các bạn thành công
TMQ.

Câu hỏi thường gặp

Core RDP Scanner là gì và hoạt động như thế nào?

Core RDP Scanner là một công cụ quét các địa chỉ IP công khai của VPS và dùng brute-force để thử các mật khẩu phổ biến nhằm truy cập vào chúng. Việc này tiềm ẩn nguy cơ bảo mật cao.

Tôi cần chuẩn bị gì trước khi sử dụng Core RDP Scanner?

Bạn cần tải về và cài đặt Nmap, sau đó tải Core RDP Scanner. Lưu ý tắt phần mềm diệt virus trước khi sử dụng vì công cụ này có thể bị nhận diện là phần mềm độc hại.

Có an toàn khi sử dụng Core RDP Scanner không?

Không, việc sử dụng Core RDP Scanner để truy cập trái phép vào VPS của người khác là hành vi vi phạm pháp luật và tiềm ẩn nhiều rủi ro. Chúng tôi không khuyến khích sử dụng công cụ này cho bất kỳ mục đích nào.

Website là mạng lưới thông tin vô cùng rộng lớn và bao la. Nhưng cũng không có gì đảm bảo là các trang web không có lỗ hổng bảo mật. Lỗ hổng bảo mật cho phép người khác truy cập trái phép và khai thác không hợp lý.

Dễ ảnh hưởng đến cơ sở dữ liệu của website. Các hacker hiện tại thích hack web hơn là hack ứng dụng hoặc phần cứng. Bài viết này AnonyViet xin được phép nói về công cụ quét lỗ hổng đang làm mưa làm gió Nikto.

Công cụ quét lỗ hổng bảo mật Nikto ?

Công cụ Nikto ra đời nhưng không đứng về phía ai cả. Hacker có thể dùng nó để quét lỗ hổng và xâm nhập trái phép. Nhưng lập trình viên cũng có thể dùng nó để quét ra được lỗ hổng. Sau đó, vá lại lỗ hổng trước khi website bị kẻ xấu tấn công. Cho nên mình mới nói là Nikto chẳng đứng về phe ai hết. Nó sẽ tốt hay xấu tùy mục đích người sử dụng.

Nikto sẽ kiểm tra website tổng thể sau đó báo cáo lại các lỗ hổng đã ghi nhận được.

Khuyết điểm: Mặc dù Nikto quét ra lỗ hổng cực nhanh chóng và hiệu quả. Nhưng nó không hề lén lút. Bất kỳ trang web nào có IDS hoặc các biện pháp phòng chống bị quét trộm. Thì nó sẽ lập tức phát hiện bạn đang quét nó và gửi thông báo cho admin.

Thử nghiệm quét bảo mật bằng Nikto

Trên máy tính đang chạy kali linux hoặc các phiên bản phân phối khác của Kali.

Các bạn hãy truy cập theo thứ tự Kali Linux -> Vulnerability Analysis -> Misc Scanners -> nikto.

Nikto cho chúng ta rất nhiều lựa chọn. Nhưng ở đây chúng ta sẽ dùng một cú pháp đơn giản và basic như sau:

nikto -h <IP hoặc tên máy chủ>

Tiếp theo các bạn tiến hành quét máy chủ Web (Web Server).

Chúng ta sẽ thử nghiệm trên một máy chủ Websever an toàn. Ví dụ dưới đây là giao thức http.

Để tiến hành việc quét lỗ hổng các bạn gõ lệnh (command) sau:

nikto -h 192.168.1.104

Sau khi gõ lệnh quét thì Nikto sẽ đưa ra hàng loạt thông tin như ảnh bên dưới.

Thông tin mà Nikto cho ta thấy bao gồm

Máy chủ là Apache 2.2.14, có thể là chạy trên nền Ubuntu.

Nó cũng liệt kê thêm thông tin về các lỗ hổng bảo mật có thể xuất hiện ở phía dưới. Đây là những thông tin quan trọng cho người dùng kiểm tra lại website.

Các bạn hãy để ý phía cuối trang có các dòng chữ về OSVDB. Đây là dữ liệu về các lỗ hổng bảo mật của website mã nguồn mở. Vì hiện tại và tương lai website sẽ dùng mã nguồn mở khá nhiều nên các bạn lưu ý nhé.

Cuối cùng là Quét trang Web

Sau khi quét lỗ hổng máy chủ Websever ở trên thì chúng ta tiếp tục quét trang web. Đây cũng là mục đích chính của chúng ta trong bài này.

Chúng ta sẽ thử nghiệm một trang web. Hãy thử với trang webscantest.com.

Đây là lệnh dùng trong trường hợp này.

nikto -h webscantest.com

Nikto đã xác định được máy chủ Apache 2.2.14 nền Ubuntu như mình nói ở trên.

Sau đó nó quét tổng quan được các lỗ hổng bảo mật tìm tàng trên trang web này. Các lỗ hổng mã nguồn mở OSVDB đã được tìm thấy.

Bạn hãy truy cập trang web Osvdb.org để tìm thêm thông tin cho lỗ hổng bảo mật OSVDB cụ thể trong hình trên.

Chúng ta sẽ sử dụng trang này để tìm thông tin về một trong những lỗ hổng được xác định bởi nikto như OSVDB-877.

Các bạn có thể nhìn xuống phần dưới của trang này. Nó sẽ đưa ra một số nguồn thông tin khác nữa về vấn đề mà các bạn đang tìm. Các nguồn tin từ Nikto, Nessus và Snort.

Tiếp tục thử nghiệm Quét Facebook

Bây giờ chúng ta sẽ thử nghiệm với ông hoàng mạng xã hội. Để xem ông vua này có lỗ hổng hay không nhé. Tiếp tục dùng lệnh cũ nhé anh em.

nikto -h facebook.com

Các bạn thấy đấy. Facebook được bảo mật vô cùng chặt chẻ. Thậm chí nó giấu cả tên sever của nó bởi vì nó có một sever riêng. Được xây dựng dành riêng cho Facebook với giá hàng tỉ đô. Cho nên Facebook không tiết lộ bất cứ thông tin gì về Sever của nó cả.

Lỗ hổng về OSVDB của mã nguồn mở cũng không hề được tìm thất trên trang này. Nó chỉ quét được lượt truy xuất nội dung của robots.txt. Và đây không có giá trị khai thác, bạn nào biết SEO website thì sẽ biết robots.txt là gì. Chẳng qua là để giúp nó tương thích với bộ tìm kiếm của google mà thôi.

Các bạn không thể nhìn thấy thông số báo lỗi nào nghiêm trọng trên facebook. Chỉ có một số lỗi lặt vặt về hiển thị mà thôi. Cho nên việc hack Facebook là một việc vô cùng khó khăn nhé mọi người.

Like Fanpage để cập nhật thêm nhiều bài viết hay.

Nguồn Internet
Lmint.

Giới thiệu về tool scan mail sll

Tool Scan Mail Sll này là phần mềm Scan Google Mail được tạo bởi AMC group, bạn có thể dùng để quét gmail, số điện thoại của 1 trang web bất kỳ. Rất hữu dụng cho dân marketing hoặc dân chuyên spam mail. Đối với các bạn thích scan Gmail để phục vụ cho nhu cầu marketing. Thì Anonyviet nghĩ tool này là sản phẩm mà các bạn không nên bỏ qua. Vì giao diện tool hoàn toàn bằng tiếng việt, dễ sử dụng và dễ hiểu. Tính năng quét sâu, lọc nhà mạng điện thoại sau khi quét cho các bạn.

Đây là tool cực sạch được phát triển cho các nhà marketing. Vì thế, các bạn hãy cứ yên tâm về chất lượng và thoải mái sử dụng. Hỗ trợ kiểm tra mail còn sống hay đã chết. Có nghĩa là nó kiểm tra nếu thấy mail đó trong thời gian dài không hoạt động thì đã chết. Có thể là mail đó không còn được người chủ dùng nữa. Còn mail nào còn sống thì mail đó đang được dùng mỗi ngày. Vì thế lọc mail sống hay chết sẽ đảm bảo việc marketing diễn ra hiệu quả hơn.

Tải phần mềm

Phần mềm được phát triển hỗ trợ cho công việc marketing quảng bá. Áp dụng cho các công ty hay mục đích tùy theo người dùng.

Các bạn truy cập để tải ở dưới đây.

Link Tải

Cách sử dụng

Việc đầu tiên các bạn cần làm là gì ? Các bạn dán link cần scan vào ô Url như trong ảnh đã tô đen. Ảnh bên dưới.

Sau khi dán link thì các bạn chọn vị trí cần lưu trữ file đã quét. Các bạn chọn vị trí cần lưu số điện thoại và mail ở nơi mà bạn muốn. Sau khi phần mềm chạy xong nó sẽ lưu một file text ở nơi bạn đã chọn. Trong file text đó sẽ lưu nội dung những thông tin mà đã quét được.

Tiếp Theo các bạn chọn vào nút Xử lý để tiến hành quét.

Đặc biệt tool có thể phân loại nhà mạng vina, mobi, viettel dựa trên các đầu số điện thoại. Việc này sẽ thuận tiện cho các bạn nào muốn lọc ra danh sách số vina, danh sách số mobi,…

Sau khi quét xong, các bạn có thể vào file text đã lưu để kiểm tra lại.

Sau đó lọc thông tin cần tìm.

Và đó là các bước để Scan Mail mà bài này mình đã hướng dẫn các bạn rồi đó. Nếu có gì thắc mắc thì các bạn hỏi ở phần Comment nhé.

Like Fanpage để cập nhật các bài viết hay và mới nhất.

Chúc các bạn thành công
Mk-39.