Information Technology

This Awesome Blogger Let's be friends and spread the love
together in the world.
Join us on

ওয়েবসাইট হ্যাক করুন Android দিয়ে । DroidSQLi এর পূর্ণ টিউটোরিয়াল.

সবাইকে সালাম জানিয়ে আমার আজকের টিউন শুরু করতে যাচ্ছি। আজকের টিউনটি হ্যাকিং নিয়ে। এটা কিন্তু আবার বেসিক হ্যাকিং। যারা এ জগতে একদম নতুন শুধু তাদের জন্য আজকের এ পোস্ট। আগেই বলে নিই যে আমি কোন হ্যাকার না, হ্যাকিং জগতের একজন শিক্ষার্থী শুধু। কয়েকদিন যাবৎ আমার কাছে PC না থাকার কারণে এন্ড্রয়েড দিয়ে হ্যাকিং ট্রাই করতে হচ্ছে। তাই এন্ড্রয়েড দিয়ে হ্যাকিং এর টিউটোরিয়াল গুলো শেয়ার করছি।
তবে শুরু করে দেই আজকের পর্ব।
আপনারা হয়তো আমার আগের টিউন থেকে DroidSQLi এন্ড্রয়েড এ্যাপটি ডাউনলোড করেছেন। যারা এখনোও করেন নি, তারা আমার আগের টিউন দেখে এ্যাপটি ডাউনলোড করে নিন। আজকে আমরা এ্যাপটি দিয়ে সাইটের এডমিন ইউজারনেম এবং পাসওয়ার্ড বের করবো।
এবার আপনার ওয়েব ব্রাইজার দিয়ে গুগলে ঢুকে Sqli vurnable সাইট বের করার ডর্ক লিখে সার্চ করুন। নিচে Sqli vurnable সাইট বের করার কয়েকটি কমন গুগল ডর্ক দিলাম।
"inurl:.php?id="
"inurl:index.php?id="
"inurl:view.php?id="
"inurl:game.php?id="
"inurl:cart.php?id="
"inurl:contactphp?id="
"inurl:main.php?id="
"inurl:go.php?id="
আর কোন নির্দিষ্ট দেশের সাইট বের করার জন্য শেষে site: দিতে পারেন। যেমন আমি ভারতীয় সাইট বের করার জন্য লিখলাম
"inurl:index.php?id="site:.in
প্রচুর সাইট আপনার সামনে হাজির হবে। যেকোন একটিকে ঢুকেন। লিংকগুলোর ধরণ এমন হবে :
http://site.com/index.php?id=13
এবার লিংকের শেষে ' চিহ্ন যোগ করে ঢুকুন। যদি কোন ইরর দেখায় তবে সাইটটি vurnable।
আমি একটি সাইট নিলাম। আমারটার লিংক হলো
http://www.amfashion.in/page.php?id=42
এবার ' চিহ্ন যোগ করার পর সাইটটির হেডারে এরর দেখালো । তার মানে সাইটটি vurnable.
আপনি একটি vurnable সাইটের লিংক নিয়ে নিন।
এবার ডাউনলোড করা DroidSQLi এ্যাপটিতে ঢুকুন। এবার Target Url বক্সে আপনার দেওয়া লিংকটি দিয়ে উপরের Inject বাটনে চাপ দিন। আমি আমার লিংকটি দিলাম। কিছুক্ষণ অপেক্ষা করুন। দেখবেন আপনার সামনে পুরো ডাটাবেজ চলে এসেছে। নিচের স্কিনশটটি দেখুন। আমার দেওয়া লিংকের ডাটাবেজ চলে এসেছে।
main
console এ কোন পদ্ধতিতে কাজ হয়েছে সেটা দেখাবে। আমার এখানে Normal Injection এ হয়েছে।
Datsbase information এ ডেটাবেইজে এর ভার্সন, নাম, ইউজার দেখা যাচ্ছে।
আর একদম নিচে ২ টি ডেটাবেইজ দেখা যাচ্ছে।
1. amfashion_cmstwo
2. information_schema
আমাদের প্রথম ডেটাবেইজটি দরকার। কারণ information_schema তে সাইটের কিছু তথ্য থাকে, যেটা আমাদের দরকার না। আপনি আপনার পাওয়া ডেটাবেইজে ঢুকুন।
আমি amfashion_cmstwo তে ঢুকলাম। নিচের মতো কিছু ডেটাবেইজ টেবিল দেখাবে । আপনার ওখানেও কিছু টেবিল দেখাবে।
hackin
এর মধ্যে admin, login এই দুইটা টেবিলে এডমিন এর তথ্য থাকার কথা।
আমি login টেবিলে ঢুকলাম। নিচের চিত্রের মতো দেখতে পাবেন।
hackcol
এবার user_name এবং user_password দুইটাতে মার্ক করে Get Records বাটনে চাপ দিলাম। এবার এডমিন ইউজারের ইউজারনেম এবং পাসওয়ার্ড দেখা যাচ্ছে।
pass
এখানের gipl এডমিন ইউজারনেম এবং current ইউজারের পাসওয়ার্ড।
হে হে, পেয়ে গেলাম এডমিন এর ডাটা। আপনিও তো পেয়েছেন, তাই না ?
এবার সাইটের এডমিন প্যানেল খুজে বের করুন। আমার পাওয়া সাইটের এডমিন প্যানেলের লিংক পেলাম :
amfashion.in/admin
আপনি প্রথমে সাইটের নামের শেষে কমন কয়েকটি admin panel লিংক দিয়ে ট্রাই করেন। যেমন:
site.com/admin
site.com/admin.php
site.com/login
site.com/login.php
site.com/administrator
এগুলো না হলে অনলাই এডমিন প্যনেল ফাইন্ডার দিয়ে এডমিন প্যানেল খুজতে পারেন। আর পিসি ইউজাররা Havij দিয়ে একসাথে inject এবং Admin panel দুটোই করতে পারেন।
এডমিন প্যানেলে গিয়ে আপনার শেল আপলোড করেন। আর ডিফেজ পেইজ আপলোড করে সাইটটি ডিফেস করেন।
আজ এ পর্যন্ত। আগামী টিউনে শেল আপলোড করে ডিফেস করা নিয়ে লিখবো।

Share this:

ABOUT ME

Hi all. This is My Frist Blog. We're providing content for Bold site and we’ve been in internet, social media and affiliate for too long time and its my profession. We are web designer & developer living Bangladesh! What can I say, we are the best..

JOIN CONVERSATION

    Blogger Comment
    Facebook Comment

0 comments :