সবাইকে সালাম জানিয়ে আমার আজকের টিউন শুরু করতে যাচ্ছি। আজকের টিউনটি
হ্যাকিং নিয়ে। এটা কিন্তু আবার বেসিক হ্যাকিং। যারা এ জগতে একদম নতুন শুধু
তাদের জন্য আজকের এ পোস্ট। আগেই বলে নিই যে আমি কোন হ্যাকার না, হ্যাকিং
জগতের একজন শিক্ষার্থী শুধু। কয়েকদিন যাবৎ আমার কাছে PC না থাকার কারণে
এন্ড্রয়েড দিয়ে হ্যাকিং ট্রাই করতে হচ্ছে। তাই এন্ড্রয়েড দিয়ে হ্যাকিং এর
টিউটোরিয়াল গুলো শেয়ার করছি।
তবে শুরু করে দেই আজকের পর্ব।
আপনারা হয়তো আমার আগের টিউন থেকে DroidSQLi এন্ড্রয়েড এ্যাপটি ডাউনলোড করেছেন। যারা এখনোও করেন নি, তারা আমার আগের টিউন দেখে এ্যাপটি ডাউনলোড করে নিন। আজকে আমরা এ্যাপটি দিয়ে সাইটের এডমিন ইউজারনেম এবং পাসওয়ার্ড বের করবো।
এবার আপনার ওয়েব ব্রাইজার দিয়ে গুগলে ঢুকে Sqli vurnable সাইট বের করার ডর্ক লিখে সার্চ করুন। নিচে Sqli vurnable সাইট বের করার কয়েকটি কমন গুগল ডর্ক দিলাম।
"inurl:.php?id="
"inurl:index.php?id="
"inurl:view.php?id="
"inurl:game.php?id="
"inurl:cart.php?id="
"inurl:contactphp?id="
"inurl:main.php?id="
"inurl:go.php?id="
আর কোন নির্দিষ্ট দেশের সাইট বের করার জন্য শেষে site: দিতে পারেন। যেমন আমি ভারতীয় সাইট বের করার জন্য লিখলাম
"inurl:index.php?id="site:.in
প্রচুর সাইট আপনার সামনে হাজির হবে। যেকোন একটিকে ঢুকেন। লিংকগুলোর ধরণ এমন হবে :
http://site.com/index.php?id=13
এবার লিংকের শেষে ' চিহ্ন যোগ করে ঢুকুন। যদি কোন ইরর দেখায় তবে সাইটটি vurnable।
আমি একটি সাইট নিলাম। আমারটার লিংক হলো
http://www.amfashion.in/page.php?id=42
এবার ' চিহ্ন যোগ করার পর সাইটটির হেডারে এরর দেখালো । তার মানে সাইটটি vurnable.
আপনি একটি vurnable সাইটের লিংক নিয়ে নিন।
এবার ডাউনলোড করা DroidSQLi এ্যাপটিতে ঢুকুন। এবার Target Url বক্সে আপনার দেওয়া লিংকটি দিয়ে উপরের Inject বাটনে চাপ দিন। আমি আমার লিংকটি দিলাম। কিছুক্ষণ অপেক্ষা করুন। দেখবেন আপনার সামনে পুরো ডাটাবেজ চলে এসেছে। নিচের স্কিনশটটি দেখুন। আমার দেওয়া লিংকের ডাটাবেজ চলে এসেছে।
console এ কোন পদ্ধতিতে কাজ হয়েছে সেটা দেখাবে। আমার এখানে Normal Injection এ হয়েছে।
Datsbase information এ ডেটাবেইজে এর ভার্সন, নাম, ইউজার দেখা যাচ্ছে।
আর একদম নিচে ২ টি ডেটাবেইজ দেখা যাচ্ছে।
1. amfashion_cmstwo
2. information_schema
আমাদের প্রথম ডেটাবেইজটি দরকার। কারণ information_schema তে সাইটের কিছু তথ্য থাকে, যেটা আমাদের দরকার না। আপনি আপনার পাওয়া ডেটাবেইজে ঢুকুন।
আমি amfashion_cmstwo তে ঢুকলাম। নিচের মতো কিছু ডেটাবেইজ টেবিল দেখাবে । আপনার ওখানেও কিছু টেবিল দেখাবে।
এর মধ্যে admin, login এই দুইটা টেবিলে এডমিন এর তথ্য থাকার কথা।
আমি login টেবিলে ঢুকলাম। নিচের চিত্রের মতো দেখতে পাবেন।
এবার user_name এবং user_password দুইটাতে মার্ক করে Get Records বাটনে চাপ দিলাম। এবার এডমিন ইউজারের ইউজারনেম এবং পাসওয়ার্ড দেখা যাচ্ছে।
এখানের gipl এডমিন ইউজারনেম এবং current ইউজারের পাসওয়ার্ড।
হে হে, পেয়ে গেলাম এডমিন এর ডাটা। আপনিও তো পেয়েছেন, তাই না ?
এবার সাইটের এডমিন প্যানেল খুজে বের করুন। আমার পাওয়া সাইটের এডমিন প্যানেলের লিংক পেলাম :
amfashion.in/admin
আপনি প্রথমে সাইটের নামের শেষে কমন কয়েকটি admin panel লিংক দিয়ে ট্রাই করেন। যেমন:
site.com/admin
site.com/admin.php
site.com/login
site.com/login.php
site.com/administrator
এগুলো না হলে অনলাই এডমিন প্যনেল ফাইন্ডার দিয়ে এডমিন প্যানেল খুজতে পারেন। আর পিসি ইউজাররা Havij দিয়ে একসাথে inject এবং Admin panel দুটোই করতে পারেন।
এডমিন প্যানেলে গিয়ে আপনার শেল আপলোড করেন। আর ডিফেজ পেইজ আপলোড করে সাইটটি ডিফেস করেন।
আজ এ পর্যন্ত। আগামী টিউনে শেল আপলোড করে ডিফেস করা নিয়ে লিখবো।
তবে শুরু করে দেই আজকের পর্ব।
আপনারা হয়তো আমার আগের টিউন থেকে DroidSQLi এন্ড্রয়েড এ্যাপটি ডাউনলোড করেছেন। যারা এখনোও করেন নি, তারা আমার আগের টিউন দেখে এ্যাপটি ডাউনলোড করে নিন। আজকে আমরা এ্যাপটি দিয়ে সাইটের এডমিন ইউজারনেম এবং পাসওয়ার্ড বের করবো।
এবার আপনার ওয়েব ব্রাইজার দিয়ে গুগলে ঢুকে Sqli vurnable সাইট বের করার ডর্ক লিখে সার্চ করুন। নিচে Sqli vurnable সাইট বের করার কয়েকটি কমন গুগল ডর্ক দিলাম।
"inurl:.php?id="
"inurl:index.php?id="
"inurl:view.php?id="
"inurl:game.php?id="
"inurl:cart.php?id="
"inurl:contactphp?id="
"inurl:main.php?id="
"inurl:go.php?id="
আর কোন নির্দিষ্ট দেশের সাইট বের করার জন্য শেষে site: দিতে পারেন। যেমন আমি ভারতীয় সাইট বের করার জন্য লিখলাম
"inurl:index.php?id="site:.in
প্রচুর সাইট আপনার সামনে হাজির হবে। যেকোন একটিকে ঢুকেন। লিংকগুলোর ধরণ এমন হবে :
http://site.com/index.php?id=13
এবার লিংকের শেষে ' চিহ্ন যোগ করে ঢুকুন। যদি কোন ইরর দেখায় তবে সাইটটি vurnable।
আমি একটি সাইট নিলাম। আমারটার লিংক হলো
http://www.amfashion.in/page.php?id=42
এবার ' চিহ্ন যোগ করার পর সাইটটির হেডারে এরর দেখালো । তার মানে সাইটটি vurnable.
আপনি একটি vurnable সাইটের লিংক নিয়ে নিন।
এবার ডাউনলোড করা DroidSQLi এ্যাপটিতে ঢুকুন। এবার Target Url বক্সে আপনার দেওয়া লিংকটি দিয়ে উপরের Inject বাটনে চাপ দিন। আমি আমার লিংকটি দিলাম। কিছুক্ষণ অপেক্ষা করুন। দেখবেন আপনার সামনে পুরো ডাটাবেজ চলে এসেছে। নিচের স্কিনশটটি দেখুন। আমার দেওয়া লিংকের ডাটাবেজ চলে এসেছে।
console এ কোন পদ্ধতিতে কাজ হয়েছে সেটা দেখাবে। আমার এখানে Normal Injection এ হয়েছে।
Datsbase information এ ডেটাবেইজে এর ভার্সন, নাম, ইউজার দেখা যাচ্ছে।
আর একদম নিচে ২ টি ডেটাবেইজ দেখা যাচ্ছে।
1. amfashion_cmstwo
2. information_schema
আমাদের প্রথম ডেটাবেইজটি দরকার। কারণ information_schema তে সাইটের কিছু তথ্য থাকে, যেটা আমাদের দরকার না। আপনি আপনার পাওয়া ডেটাবেইজে ঢুকুন।
আমি amfashion_cmstwo তে ঢুকলাম। নিচের মতো কিছু ডেটাবেইজ টেবিল দেখাবে । আপনার ওখানেও কিছু টেবিল দেখাবে।
এর মধ্যে admin, login এই দুইটা টেবিলে এডমিন এর তথ্য থাকার কথা।
আমি login টেবিলে ঢুকলাম। নিচের চিত্রের মতো দেখতে পাবেন।
এবার user_name এবং user_password দুইটাতে মার্ক করে Get Records বাটনে চাপ দিলাম। এবার এডমিন ইউজারের ইউজারনেম এবং পাসওয়ার্ড দেখা যাচ্ছে।
এখানের gipl এডমিন ইউজারনেম এবং current ইউজারের পাসওয়ার্ড।
হে হে, পেয়ে গেলাম এডমিন এর ডাটা। আপনিও তো পেয়েছেন, তাই না ?
এবার সাইটের এডমিন প্যানেল খুজে বের করুন। আমার পাওয়া সাইটের এডমিন প্যানেলের লিংক পেলাম :
amfashion.in/admin
আপনি প্রথমে সাইটের নামের শেষে কমন কয়েকটি admin panel লিংক দিয়ে ট্রাই করেন। যেমন:
site.com/admin
site.com/admin.php
site.com/login
site.com/login.php
site.com/administrator
এগুলো না হলে অনলাই এডমিন প্যনেল ফাইন্ডার দিয়ে এডমিন প্যানেল খুজতে পারেন। আর পিসি ইউজাররা Havij দিয়ে একসাথে inject এবং Admin panel দুটোই করতে পারেন।
এডমিন প্যানেলে গিয়ে আপনার শেল আপলোড করেন। আর ডিফেজ পেইজ আপলোড করে সাইটটি ডিফেস করেন।
আজ এ পর্যন্ত। আগামী টিউনে শেল আপলোড করে ডিফেস করা নিয়ে লিখবো।
ABOUT ME
Hi all. This is My Frist Blog. We're providing content for Bold site and we’ve been in internet, social media and affiliate for too long time and its my profession. We are web designer & developer living Bangladesh! What can I say, we are the best..
0 comments :
Post a Comment