ក្នុងរយៈពេលពីរសប្តាហ៍កន្លងមកនេះ Logit4J បានបន្តជំរុញព័ត៌មានសន្តិសុខដោយមានវេទិកាងាយរងគ្រោះជាងមុនផងដែរ។ CVS បានចេញមក។ ដំបូងគឺការងារដែលធ្វើដោយនិន្នាការទាន់សម័យសម្លឹងមើលរថយន្តអគ្គិសនីក៏ដូចជាឆ្នាំងសាក។ ពួកគេបានរកឃើញការវាយលុកចូលក្នុងក្របខ័ណ្ឌនៃឆ្នាំងសាកដែលបានបោះពុម្ពផ្សាយមួយក៏ដូចជាដោះស្រាយផងដែរដើម្បីសង្កេតមើលភស្តុតាងនៃភាពងាយរងគ្រោះនៅក្នុងប្រព័ន្ធ Insoainmanment រថយន្ត Tesla ។ វាមិនមែនជាការលាតសន្ធឹងដើម្បីស្រមៃនៃមេរោគដែលអាចដំណើរការបានទាំងឆ្នាំងសាកក៏ដូចជាអេសអេស។ ក៏ដូចជាចាប់តាំងពីប្រព័ន្ធទាំងនោះនិយាយជាមួយគ្នាពួកគេអាចចម្លងមេរោគជាមួយនឹងយានយន្តដែលធ្វើចលនាពីឆ្នាំងសាករហូតដល់សាក។

Log4j ឥឡូវមានចំនួនច្រើនបំផុត 2.17.1 ព្រោះថាមានមួយរយៈទៀតទៀតត្រូវជួសជុលគឺស៊ីអេសអេស -2021-44832 ។ នេះត្រូវបានរកគ្រាប់បាល់បានតែ 6.6 នៅលើមាត្រដ្ឋាន CVSS ដែលផ្ទុយពីដើមដែលមានទំងន់ក្នុងមួយ 10. 44832 ត្រូវការអ្នកវាយប្រហារដំបូងដែលបានកំណត់លើការកំណត់រចនាសម្ព័ន្ធ Log4j ដែលធ្វើឱ្យការធ្វើអាជីវកម្មកាន់តែពិបាក។ ខ្សែភាពងាយរងគ្រោះនៃការតាមដាននេះបង្ហាញពីគំរូដែលគេស្គាល់ជាទូទៅដែលភាពងាយរងគ្រោះនៃទម្រង់ខ្ពស់ទាក់ទាញចំណាប់អារម្មណ៍របស់អ្នកស្រាវជ្រាវដែលរកឃើញបញ្ហាផ្សេងទៀតនៅក្នុងក្រមដូចគ្នា។

ឥឡូវនេះមានរបាយការណ៍នៃការចូល Log4J ដែលត្រូវបានប្រើប្រាស់ក្នុងយុទ្ធនាការ Conti Ransomware ។ លើសពីនេះទៀតដង្កូវដែលមានមូលដ្ឋាននៅម៉ារ៉ាត្រូវបានគេសង្កេតឃើញ។ ការវាយធ្វើបាបខ្លួនឯងនេះហាក់ដូចជាកំពុងកំណត់គោលដៅរបស់ Tomcat Servers ក្នុងចំនោមអ្នកដទៃ។

WebOS ធ្លាក់ដល់រូបថតមួយ

លោក David Buchanan] ទទួលស្គាល់ថាខណៈដែលនេះគឺជាការកេងប្រវ័ញ្ចគួរឱ្យចាប់អារម្មណ៍នោះមិនមានឧបករណ៍ប្រើប្រាស់ច្រើនទេនៅចំណុចនេះ។ នោះអាចនឹងផ្លាស់ប្តូរ, ទោះយ៉ាងណាសូមក្រឡេកមើលគុណវិបត្តិសម្រាប់ពេលនេះ។ រូបថតគឺជាមុខងារដ៏អស្ចារ្យនៅក្នុងម៉ាស៊ីន V8 JavaScript ។ នៅពេលអ្នកបើកទៅកាន់ទំព័របណ្តាញអត្ដសញ្ញាណ JavaScript សម្រាប់ទំព័រនោះត្រូវតែផលិតនៅក្នុងការចងចាំរួមទាំងការវេចីរារងទាំងអស់ដែលគេហៅថាទំព័រ។ វាមិនយកបានល្អនៅលើផ្ទៃតុទេទោះយ៉ាងណានៅលើឧបករណ៍ដែលបានបង្កប់ឬការវេចខ្ចប់ទូរស័ព្ទដៃជំហានចាប់ផ្តើមនេះអាចតំណាងឱ្យផ្នែកធំនៃពេលវេលាដែលត្រូវការដើម្បីគូរទំព័រដែលត្រូវការ។ រូបថត Snapshots គឺជាការ hack ដ៏អស្ចារ្យមួយដែលបរិបទត្រូវបានចាប់ផ្តើមក៏ដូចជាបានរក្សាទុក។ នៅពេលដែលចំណុចប្រទាក់ក្រោយមកត្រូវបានបើកម៉ាស៊ីន V8 អាចត្រូវបានគេហៅថារក្សាឯកសារនោះក៏ដូចជាបរិបទត្រូវបានចាប់ផ្តើមជាមុនធ្វើឱ្យការណែនាំអំពីកម្មវិធីឬចំណុចប្រទាក់លឿនជាងមុន។ ការចាប់តែមួយគត់គឺថា V8 រំពឹងលើរូបថតដែលត្រូវបានខ្ចប់តែពីប្រភពដែលគួរឱ្យទុកចិត្តប៉ុណ្ណោះ។

នៅលើវេទិកា WebOS ខ្លួនវាផ្ទាល់។ កម្មវិធីឯកជនគឺជាប្រអប់ខ្សាច់ទោះយ៉ាងណាកម្មវិធីគេហទំព័រដំណើរការលេខកូដរបស់ពួកគេក្នុងបរិបទនៃ Webappmgr (WAM) កម្មវិធីរុករករបស់ពួកគេផ្អែកលើ chromium / v8 ។ ខណៈពេលដែលកម្មវិធីឯកជនគឺជាប្រអប់ខ្សាច់, វ៉ាមមិនមានទេ។ អ្នកទាត់បាល់នោះគឺថាកម្មវិធីគេហទំព័រអាចបញ្ជាក់រូបថតរបស់វាដល់តោនទៅក្នុង V8 ។ ការវេចខ្ចប់រូបថតដែលខូចបានផ្តល់នូវភាពច្របូកច្របល់ប្រភេទជេអេសអេសក៏ដូចជាអាន / សរសេរបឋមដែលបំពានតាមអំពើចិត្តដែលជាលទ្ធផល។ ពីទីនោះបំបែកចេញពីការរត់ជេអេសអេសក៏ដូចជាចូលទៅក្នុងសំបកស្ងាត់ស្ងៀមគឺងាយស្រួល។ RCE នេះដំណើរការជាអ្នកប្រើប្រាស់ “WAM” ទោះយ៉ាងណានេះគឺជាគណនីដែលមានឯកសិទ្ធិស្រាល។ គួរឱ្យកត់សម្គាល់, WAM ទទួលបានការចូលដំណើរការទៅកាន់ / dev / sem – ទទួលបានការចូលដំណើរការដោយផ្ទាល់ទៅកាន់ការចងចាំប្រព័ន្ធ។ ការកើនឡើងឱ្យឫសគឺស្ទើរតែមិនសំខាន់។

[ដាវីឌ] បានបោះពុម្ពផ្សាយ Poc Lead Poc ហើយដោយកត់សម្គាល់ថា LG ដែលមិនធ្លាប់មានពីមុនមកសម្រាប់ប្រាក់រង្វាន់។ ខ្ញុំមិនយល់ស្របនឹងការអះអាងរបស់គាត់ថាការវាយលុកនេះពឹងផ្អែកទាំងស្រុងលើការផ្ទុកកម្មវិធីដែលមានគ្រោះថ្នាក់ដោយហេតុផលសាមញ្ញដែលក្រុមហ៊ុន LG ពិតជាដំណើរការហាងសម្ភារៈរបស់ពួកគេសម្រាប់វេទិកានេះ។ អ្នករចនាដែលមានគំនិតអាក្រក់ប្រហែលជាអាចឆ្លងកាត់ប្រភេទនៃការរាវរកមេរោគណាមួយប្រភេទដែលក្រុមហ៊ុន LG ប្រើប្រាស់ទៅក្នុងវីអ៊ីធីកម្មវិធី។ កម្មវិធីដែលមានគំនិតអាក្រក់នៅលើ App Store ពិតជាមិនមានអ្វីថ្មីទេ។ ផ្នែកដ៏អាក្រក់បំផុតនៃការកេងប្រវ័ញ្ចនេះគឺថាវាពិបាកក្នុងការដាក់ម្រាមដៃរបស់មនុស្សម្នាក់អំពីភាពងាយរងគ្រោះ។

ក្រុមចោរប្លន់បួននាក់ក្នុងក្រុម

[Fabian Bräunlein] បានរកឃើញទម្លាប់ដែលមិនសមហេតុផលមួយចំនួននៅក្នុងមុខងារការមើលជាមុនរបស់ Microsoft ក្រុម។ បញ្ហាដំបូងបំផុតគឺការស្នើសុំសំណើរបស់ម៉ាស៊ីនមេ។ ការមើលតំណភ្ជាប់ជាមុនត្រូវបានផលិតនៅផ្នែកខាងម៉ាស៊ីនបម្រើក្រុមក៏ដូចជាដោយអត្ថន័យដែលត្រូវការការបើកទំព័រដើម្បីបង្ហាញការមើលជាមុន។ បញ្ហានេះគឺកង្វះការត្រង – ភ្ជាប់ទៅនឹង 127.0.0.1.12.80 បង្កើតការមើលជាមុននៃអ្វីដែលបានរកឃើញនៅលើ localost របស់ម៉ាស៊ីនមេរបស់ក្រុម។

បន្ទាប់គឺជាបច្ចេកទេសនៃការភ្ជាប់បណ្តាញភ្ជាប់សាមញ្ញ។ នេះប្រើឧបករណ៍មួយដូចជាប៊ឺសដើម្បីកែប្រែទិន្នន័យដែលផ្ញើដោយអតិថិជនក្រុម។ ផ្នែកមួយនៃសារដែលត្រូវបានផ្ញើនៅពេលបង្កប់តំណមួយគឺ URL ដើម្បីហៅទូរស័ព្ទសម្រាប់ការមើលការមើលជាមុន។ មិនមានសុពលភាពអ្វីទៀតទេដូច្នេះវាអាចធ្វើឱ្យការមើលជាមុនពី URL ដែលមានភាពវាងវៃខណៈតំណភ្ជាប់ពិតប្រាកដទៅទំព័រដែលបំពាន។ បញ្ហាទី 3 ទាក់ទងនឹងបញ្ហាដែលទាក់ទងនឹងរូបភាពតូចខ្លួនវាក៏ដូចគ្នាដែរនៅក្នុងសារនេះក៏ដូចជាអាចត្រូវបានរំខានជាមួយ។ ករណីប្រើប្រាស់គួរឱ្យចាប់អារម្មណ៍នៅទីនេះគឺថាអ្នកវាយប្រហារអាចកំណត់វាទៅ URL ដែលពួកគេគ្រប់គ្រងក៏ដូចជាព័ត៌មានស្រង់ចេញពីគោលដៅមួយគឺអាសយដ្ឋាន IP សាធារណៈ។ ឥឡូវនេះត្រូវបានរារាំងដោយអតិថិជនរបស់គោលដៅនៅលើវេទិកាភាគច្រើនទោះយ៉ាងណាការត្រួតពិនិត្យប្រព័ន្ធប្រតិបត្តិការ Android បានបាត់។

ហើយចុងក្រោយបញ្ហាប្រព័ន្ធប្រតិបត្តិការ Android គឺមួយអ្នកវាយប្រហារអាចផ្ញើសារនៃការស្លាប់ “អ្វីដែលសំខាន់មួយសារដែលមិនត្រឹមត្រូវដែលមានគ្រោះថ្នាក់ដល់កម្មវិធីនេះដោយព្យាយាមបង្ហាញការមើលជាមុន។ គ្រោះថ្នាក់នេះកម្មវិធីរាល់ពេលដែលបុគ្គលម្នាក់ៗព្យាយាមទទួលបានការចូលមើលការជជែកកំសាន្តដោយចាក់សោរបុគ្គលចេញពីកម្មវិធីទាំងអស់។ ឥលូវនេះមិនមែនជាបញ្ហាដែលបែកបាក់នៅលើផែនដីទេទោះយ៉ាងណាការប្រមូលផ្តុំសមូហភាពរបស់ក្រុមហ៊ុន Microsoft គឺជាការឆ្លើយតបរបស់ក្រុមហ៊ុន Microsoft ។ ពួកគេបានបំបាំងកាយ – ការលេចធ្លាយអាសយដ្ឋាន IP ទោះយ៉ាងណាវានៅតែអាចធ្វើឱ្យមានលទ្ធភាពពិនិត្យមើលឡើងវិញបន្ថែមពីលើគ្រោះថ្នាក់នេះ។

backdoors pbx

ក្រុមអ្នកស្រាវជ្រាវនៅ Redteam Pentesting បានក្រឡេកមើល PBX ដែលរចនាដោយ Auerswald ដែលជាក្រុមហ៊ុនផលិតឧបករណ៍ទូរគមនាគមន៍អាឡឺម៉ង់។ អ្វីដែលចាប់បានភ្នែករបស់ពួកគេគឺជាសេវាកម្មដែលបានផ្សព្វផ្សាយដែល Auerswald អាចអនុវត្តការកំណត់ពាក្យសម្ងាត់របស់អ្នកគ្រប់គ្រងសម្រាប់អតិថិជនដែលបានចាក់សោចេញពីឧបករណ៍របស់ពួកគេ។ នេះគឺជាសៀវភៅ Backdoor សៀវភៅ Backdoor ក៏ដូចជាការស៊ើបអង្កេតដែលបានធានា។

ប្រសិនបើមានតែ backdoor ប្រភេទនេះទេ: https://xkcd.com/806/
វិធីសាស្រ្តរបស់ពួកគេជាជាងវាយប្រហារផ្នែករឹងដោយផ្ទាល់គឺដើម្បីចាប់យកបាច់កម្មវិធីបង្កប់ចុងក្រោយពីគេហទំព័ររបស់ Auerswald ក៏ដូចជាវិភាគរឿងនោះ។ ការប្រើប្រាស់ឯកសារ, Gunzip, ក៏ដូចជាឧបករណ៍ប្រើប្រាស់ Dumpimage បានផ្តល់ឱ្យពួកគេនូវឯកសារឯកសារគោលដែលពួកគេត្រូវការ។ ធ្វើការជាមួយគេហទំព័រនៃឯកសារកំណត់រចនាសម្ព័ន្ធពួកគេបានទូទាត់នៅលើប្រព័ន្ធគោលពីររបស់ម៉ាស៊ីនវែបដែលភាគច្រើនទំនងជាមានលេខសំងាត់កំណត់លេខសំងាត់ឡើងវិញ Backdoor ។ គ្រាន់តែកំណត់ចំណាំមួយវាជារឿងធម្មតាណាស់សម្រាប់ឧបករណ៍បង្កប់ដើម្បីបញ្ចូលចំណុចប្រទាក់នីមួយៗរបស់ពួកគេក៏ដូចជាការកំណត់រចនាសម្ព័ន្ធតក្កវិជ្ជានៅក្នុងប្រព័ន្ធគោលពីរ HTTPD តែមួយ។

ដោយបានផ្តល់ឱ្យគោលពីរពួកគេបានពឹងផ្អែកលើអ្វីដែលបានបញ្ចប់ជាឧបករណ៍ដែលអ្នកស្រាវជ្រាវដែលពេញចិត្តនៅគ្រប់ទីកន្លែងគឺ GHIDRA ។ ពួកគេមានជំនួយមួយបន្ថែមទៀត, អ្នកប្រើ “គ្រប់គ្រង”, ដូច្នេះបានស្វែងរកខ្សែនោះដែលប្រើ GHIDRA ។ PayDirt ។ ខួងចុះជាមួយនឹងមុខងារឈ្មោះអ្នកប្រើ Hardcoded “Schandelah” នៅទីនោះ។ ការខ្វះចន្លោះបន្តិចជាងមួយបានកើតឡើងជាមួយនឹងមុខងារពាក្យសម្ងាត់។ សម្រាប់ PBXs ទាំងអស់នេះលេខសម្ងាត់ Backdoor គឺជាអក្សរ 7 ដំបូងបំផុតនៃ MD5 Hash នៃលេខសៀរៀលរបស់អង្គភាព + “R2D2” + កាលបរិច្ឆេទបច្ចុប្បន្ន។

គ្រាន់តែសម្រាប់ការសប្បាយអ្នកស្រាវជ្រាវបានប្រើ GHIDRA ដើម្បីរកមើលសម្រាប់ការប្រើប្រាស់ផ្សេងទៀតនៃមុខងារពាក្យសម្ងាត់របស់ Backdoor ។ ចេញ, ប្រសិនបើបុគ្គលរដ្ឋបាលត្រូវបានបញ្ជាក់ក៏ដូចជាពាក្យសម្ងាត់មិនត្រូវគ្នានឹងពាក្យសម្ងាត់ដែលបានកំណត់រចនាសម្ព័ន្ធដោយអ្នកប្រើវាត្រូវបានប្រៀបធៀបទៅនឹងក្បួនដោះស្រាយនេះ។ ប្រសិនបើវាត្រូវគ្នា? អ្នកបានចូលជាអ្នកគ្រប់គ្រងលើផ្នែករឹង។ នេះពិតជាមានប្រយោជន៍ជាងការកំណត់លេខសំងាត់របស់អ្នកគ្រប់គ្រងឡើងវិញព្រោះវាអាចឱ្យទទួលបាននូវការចូលប្រើដោយគ្មានប្រភេទនៃការកែប្រែជាក់ស្តែងណាមួយទៅប្រព័ន្ធ។ អត្ថបទទាំងមូលគឺជាការបង្រៀនដ៏អស្ចារ្យលើការប្រើប្រាស់ GHIDRA សម្រាប់ការស្រាវជ្រាវប្រភេទនេះ។

Auerswald បានជំរុញឱ្យមានការកែប្រែកម្មវិធីបង្កប់យ៉ាងរហ័សដើម្បីកែបញ្ហាដែលបានកំណត់។ Backdoor ដូចជាមួយនេះដែលត្រូវបានបង្ហាញជាសាធារណៈគឺមិនមានលក្ខណៈស្របច្បាប់ក៏ដូចជាគ្រាប់មីនដែលស្មោះត្រង់ដូចជាមនុស្សមួយចំនួនដែលយើងបានពិភាក្សានៅទីនេះ។ វានៅតែមានបញ្ហាមួយជាមួយនឹងកម្មវិធី – កំណត់លេខសំងាត់ឡើងវិញគួរតែកំណត់ឧបករណ៍ឡើងវិញទៅការកំណត់រោងចក្រក៏ដូចជាការលុបទិន្នន័យនីមួយៗ។ អ្វីដែលតិចជាងនេះគឺទទួលបានការបង្ហាញការបង្ហាញទិន្នន័យសំខាន់។

Sam Spoofing

ភាពងាយរងគ្រោះពីភាពងាយរងគ្រោះដោយមានគណនីសកម្មគឺគួរឱ្យចាប់អារម្មណ៍សម្រាប់ភាពសាមញ្ញរបស់វា។ វាជាការរួមបញ្ចូលគ្នានៃ CVE-2021-42287 ក៏ដូចជា CVE-2021-42278 ។ ថតឯកសារវីនដូសកម្មមានប្រភេទគណនីបុគ្គលម្នាក់ៗម្នាក់ៗក៏ដូចជាគណនីម៉ាស៊ីន។ គណនីម៉ាស៊ីនត្រូវបានប្រើដើម្បីនាំមកនូវផ្នែករឹងជាក់លាក់ចូលទៅក្នុងដែនក៏ដូចជាចុងដោយការចង្អុលបង្ហាញប្រាក់ដុល្លារ (mymachine1 $) ។ តាមលំនាំដើមបុគ្គលអាចផលិតគណនីម៉ាស៊ីនបន្ថែមលើប្តូរឈ្មោះគណនីទាំងនោះ។ បញ្ហាដំបូងគឺថាបុគ្គលម្នាក់អាចផលិតបានក៏ដូចជាបន្ទាប់មកប្តូរឈ្មោះគណនីម៉ាស៊ីនដែលដូចគ្នានឹងឧបករណ៍បញ្ជាដែនដោយគ្រាន់តែគ្មានសញ្ញាដុល្លារចុងក្រោយ។ ឧទាហរណ៍ខ្ញុំអាចផលិត MyMachine1 $ បន្ទាប់មកប្តូរឈ្មោះវាទៅ ImainConTrolloller1 ។ Imaincontroller1 $ នៅតែមានផងដែរក៏ដូចជាដែននឹងមើលឃើញថាជាគណនីម៉ាស៊ីនដាច់ដោយឡែក។

ដែនវីនដូវីនដូអ៊ិនធឺរណែតធ្វើឱ្យ Kerberos នៅក្រោមក្រណាត់ក៏ដូចជា Kerberos ប្រើប្រាស់គំរូសំបុត្រ។ គណនីមួយអាចស្នើសុំសំបុត្រដែលផ្តល់សំបុត្រ (TGT) ដែលដើរតួជានិមិត្តសញ្ញាផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបណ្តោះអាសន្ន។ ជឿថាវាជាការជំនួសពាក្យសម្ងាត់ដែលអាចត្រូវបានផ្ញើដោយសំណើភ្លាមៗ។ ការវាយលុកនេះគឺដើម្បីស្នើសុំ TGT សម្រាប់គណនីម៉ាស៊ីនប្តូរឈ្មោះក៏ដូចជាប្តូរឈ្មោះគណនីដែលម្តងទៀតត្រឡប់ទៅ MyMaCaMine1 វិញ។ ចំណុចសំខាន់គឺថាអ្នកវាយប្រហារនៅតែមានសំបុត្រដែលមានសុពលភាពសម្រាប់គណនី IlimConTrollorer1 ទោះបីជាគណនីមិនមានទៀតទេដែលមានឈ្មោះច្បាស់លាស់។ បន្ទាប់មកអ្នកវាយប្រហារស្នើសុំគ្រាប់ចុចសម័យមួយពីមជ្ឈមណ្ឌលចែកចាយដ៏សំខាន់ (ខេស៊ីស៊ី) ប្រើប្រាស់ TGT នេះ។ ខេឌីស៊ីកត់សំគាល់ថាគណនីស្នើសុំមិនមានទេក៏ដូចជាការស្នើសុំការចង្អុលបង្ហាញប្រាក់ដុល្លារក៏ដូចជាដំណើរការត្រួតពិនិត្យម្តងទៀត។ វាមើលឃើញ TGT ដែលមានសុពលភាពសម្រាប់ឈ្មោះ ImainConTroller1 ក៏ដូចជាត្រឡប់គ្រាប់ចុច Session ដែលផ្តល់ជាអ្នកវាយប្រហារថា Iromcontroller1 $ ដែលកើតឡើងដើម្បីក្លាយជាគណនីគ្រប់គ្រងដែន។

ការឈឺចុកចាប់ចាស់របស់ Chrome

វាបាននិយាយថាយើងមិនបានទទួលវីនដូ 9 ទេចាប់តាំងពីកម្មវិធីចាស់ៗជាច្រើនគឺ Wបានវាយជាមួយ regex ដែលអាចការពារការប្រហារជីវិតដែលត្អូញត្អែរថាពាក្យសុំនឹងមិនដំណើរការលើវីនដូ 95 ឬ 98 ទេ។ Chrome កំពុងព្យាយាមការពារបញ្ហាស្រដៀងគ្នានេះនៅពេលអ្នករចនាម៉ូដរបស់ Google សូមមើលកំណែ 100 នៅលើផ្តេក។ ប្រភេទនៃរឿងនេះមានកម្មវិធីរុករកគេហទំព័រខាំមុនជាពិសេសជាពិសេសល្ខោនអូប៉េរ៉ាចេញផ្សាយកំណែ 10 ដោយបន្ថែមទៀតបំបែកខ្សែភ្នាក់ងារភ្នាក់ងារអ្នកប្រើក្នុងដំណើរការ។ Firefox កំពុងទទួលបានភាពសប្បាយរីករាយផងដែរក៏ដូចជាអ្នករចនាម៉ូដទាំងអ្នករចនាម៉ូដទាំងពីរមានសំណើរបស់អ្នក: ស្វែងរកគេហទំព័រជាមួយខ្សែភ្នាក់ងារភ្នាក់ងារអ្នកប្រើដែលបានវាយកំហុសក៏ដូចជាអនុញ្ញាតឱ្យពួកគេយល់ពីអ្វីដែលបំបែកជាលទ្ធផលនៃកំណែ 100 ។ នេះ នឹងជាឱកាសដ៏ល្អមួយក្នុងការធ្វើតេស្តគេហទំព័ររបស់អ្នកផងដែរ។ សូមឱ្យយើងយល់ប្រសិនបើអ្នកឃើញប្រភេទណាមួយនៃលទ្ធផលប្លែកជាពិសេស។