আসসালামুয়ালাইকুম…
সবাইকে জানাচ্ছি ঈদ মুবারক ।
আজকের পোস্টটি নতুন হ্যাকার এবং আমার মত আমজনতাদের জন্য ।
আমরা প্রায়ই শুনে থাকি বিভিন্ন ওয়েবসাইট হ্যাক হওয়ার কথা ।
ওয়েবসাইট হ্যাক করার জন্য নিচে দেওয়া প্রক্রিয়া গুলো ব্যাবহার করা হয়ে থাকে ।
1. SQL INJECTION
2. CROSS SITE SCRIPTING
3. REMOTE FILE INCLUSION
4. LOCAL FILE INCLUSION
5. DDOS ATTACK
6. EXPLOITING VULNERABILITY.
আজ আমার পোস্টের বিষয় SQL INJECTION .
কিভাবে এটা কাজ করে সেটা নিয়ে আলোচনা করব।
প্রথমে এখানে ক্লিক করে প্রয়োজনীয় সফটওয়্যারটি ডাউনলোড করে নিন ( ২.৯ মেগাবাইট )।
Winrar দিয়ে সফটওয়্যারটি Extract করে নিন ।
Havij ওপেন করুন এবং রেজিস্টার করে নিন । সাহায্যের জন্য Registration.txt ফাইলটি দেখুন ।
এবার আমাদের দরকার এমন একটি ওয়েব এড্রেস যার sql vulnerability আছে।
এবার আমাদের দরকার এমন একটি ওয়েব এড্রেস যার sql vulnerability আছে।
এজন্যে প্রাথমিক ভাবে আমরা গুগলের সাহায্য নেব ।
নিচের যেকোন একটি ডর্ক লিখে বা কপি করে গুগলে সার্চ করুন ।
গুগলের অনেক ডর্ক আছে। আমি এখানে মাত্র কয়েকটি ডর্ক লিস্ট দিলাম ।
আরও ডর্ক পেতে গুগলে google dork sql injection লিখে সার্চ করতে পারেন ।
নিচের যেকোন একটি ডর্ক লিখে বা কপি করে গুগলে সার্চ করুন ।
গুগলের অনেক ডর্ক আছে। আমি এখানে মাত্র কয়েকটি ডর্ক লিস্ট দিলাম ।
আরও ডর্ক পেতে গুগলে google dork sql injection লিখে সার্চ করতে পারেন ।
inurlageid=
inurl:games.php?id=
inurlage.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=d=
inurl:event.php?id=
inurlroduct-item.php?id=
inurl:sql.php?id=
inurl:news_view.php?id=
inurl:select_biblio.php?id=
inurl:humor.php?id=
inurl:aboutbook.php?id=
inurl:fiche_spectacle.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:view.php?id=
inurl:website.php?id=
inurl:hosting_info.php?id=
inurl:gallery.php?id=
inurl:rub.php?idr=
inurl:view_faq.php?id=
inurl:artikelinfo.php?id=
inurl:detail.php?ID=
inurl:index.php?=
এবার দেখুন কিছু ওয়েব সাইটের লিস্ট চলে এসেছে যাদের ওয়েব এড্রেসের শেষে কোন সংখ্যা লেখা । ( যেমনঃ php?id=109 , php?id=7, php?id=68 ইত্যাদি )
যেকোনো একটি ওয়েবসাইটে প্রবেশ করুন ।
ওয়েবএড্রেসের শেষে একটি ‘ দিয়ে Enter চাপুন ।
১ নং ছবিটি দেখুন । আমার বাছাইকৃত ওয়েবএড্রেসটি ছিল http://www.skj.in/products.php?id=22, আমিhttp://www.skj.in/products.php?id=22′ লিখে Enter চেপেছি ।
দেখুন কোন এরর মেসেজ দেখায় কিনা । যদি এরর মেসেজ দেখায় তাহলে এখান থেকে তথ্য পাওয়ার সম্ভাবনা আছে । কিছু ওয়েবসাইটের পেজের এরর মেসেজ সাদা পেজেও দেখাতে পারে । এটা কোন চিন্তার বিষয় নয় বরং এগুলো থেকে বেশি তথ্য পাওয়া যেতে পারে ।
( আপনারাও এই এড্রেসটি ব্যাবহার করতে পারেন প্রাথমিক ধারণা পেতে ) ।
১ নং ছবিটি দেখুন । আমার বাছাইকৃত ওয়েবএড্রেসটি ছিল http://www.skj.in/products.php?id=22, আমিhttp://www.skj.in/products.php?id=22′ লিখে Enter চেপেছি ।
দেখুন কোন এরর মেসেজ দেখায় কিনা । যদি এরর মেসেজ দেখায় তাহলে এখান থেকে তথ্য পাওয়ার সম্ভাবনা আছে । কিছু ওয়েবসাইটের পেজের এরর মেসেজ সাদা পেজেও দেখাতে পারে । এটা কোন চিন্তার বিষয় নয় বরং এগুলো থেকে বেশি তথ্য পাওয়া যেতে পারে ।
( আপনারাও এই এড্রেসটি ব্যাবহার করতে পারেন প্রাথমিক ধারণা পেতে ) ।
১।
এবার Havij ওপেন করে Target বক্সে ইউ.আর.এল (URL) টি লিখুন এবং Analyze চাপুন । ( ২ নং ছবি )
এবং শেষ হওয়ার আগ পর্যন্ত অপেক্ষা করুন । ( যে পর্যন্ত current DB: না দেখায় )
যদি current DB: না দেখিয়ে লাল রঙে এরর মেসেজ দেখায় তাহলে অন্য কোন ওয়েবএড্রেস দিয়ে চেষ্টা করুন ।
এবং শেষ হওয়ার আগ পর্যন্ত অপেক্ষা করুন । ( যে পর্যন্ত current DB: না দেখায় )
যদি current DB: না দেখিয়ে লাল রঙে এরর মেসেজ দেখায় তাহলে অন্য কোন ওয়েবএড্রেস দিয়ে চেষ্টা করুন ।
২।
এবার আমরা এই ওয়েবসাইটের তথ্য বের করব ।
Tables চেপে Get Tables চাপুন এবং কিছুক্ষন অপেক্ষা করুন ।
নিচে ৩ নং ছবিতে দেখুন অনেক গুলো Table পাওয়া গেছে ।
আমাদের Admin / User ইত্যাদি নামের Table খুজে বের করতে হবে, যেগুলো দিয়ে আমরা ওয়েবসাইটটি নিজের আয়ত্তে নিতে পারব ।
আমি এখানে skj_admin এই Table টি চিহ্নিত করেছি ।
Tables চেপে Get Tables চাপুন এবং কিছুক্ষন অপেক্ষা করুন ।
নিচে ৩ নং ছবিতে দেখুন অনেক গুলো Table পাওয়া গেছে ।
আমাদের Admin / User ইত্যাদি নামের Table খুজে বের করতে হবে, যেগুলো দিয়ে আমরা ওয়েবসাইটটি নিজের আয়ত্তে নিতে পারব ।
আমি এখানে skj_admin এই Table টি চিহ্নিত করেছি ।
৩।
এবার skj_admin এই Table টির columns গুলো বের করতে হবে ।
এজন্য Get columns চাপতে হবে । আমি এখানে ৩ টি column পেয়েছি ।
আমার শুধু user name এবং password দরকার, id নাহলেও চলবে। আমি তিনটিই চিহ্নিত করেছি ।
এবার তথ্য বের করতে Get Data চাপতে হবে ।
দেখুন আমি এখানে প্রয়োজনীয় তথ্য পেয়ে গেছি । ( ৪ নং ছবি )
এজন্য Get columns চাপতে হবে । আমি এখানে ৩ টি column পেয়েছি ।
আমার শুধু user name এবং password দরকার, id নাহলেও চলবে। আমি তিনটিই চিহ্নিত করেছি ।
এবার তথ্য বের করতে Get Data চাপতে হবে ।
দেখুন আমি এখানে প্রয়োজনীয় তথ্য পেয়ে গেছি । ( ৪ নং ছবি )
৪।
আমরা user name এবং password পেয়ে গেছি । এবার আমাদের লগ ইন করার পেজটি খুজে বের করতে হবে ।
এজন্য Find Admin চেপে start চাপতে হবে ।
দেখুন, আমরা ২ টি লগইন পেজের ইউ.আর.এল পেয়েছি ।
যেকোনো একটির উপর মাউস দিয়ে রাইট ক্লিক করে open url চাপুন । ( ৫ নং ছবি )
এবার user name এবং password দিয়ে প্রবেশ করুন । এরপর যা আপনার খুশি… ।
এজন্য Find Admin চেপে start চাপতে হবে ।
দেখুন, আমরা ২ টি লগইন পেজের ইউ.আর.এল পেয়েছি ।
যেকোনো একটির উপর মাউস দিয়ে রাইট ক্লিক করে open url চাপুন । ( ৫ নং ছবি )
এবার user name এবং password দিয়ে প্রবেশ করুন । এরপর যা আপনার খুশি… ।
৫।
বিঃদ্রঃ
” Hacking is not a crime ”
” কারো ক্ষতির উদ্দেশ্যে ব্যাবহার করবেন না ”
এ জাতিও কিছুই বলব না ।
হ্যাকিং এ কারও না কারও ক্ষতি তো হয়েই থাকে , সেটা যেকোনো হ্যাকিং হোক না কেন ।
আর… কারো ক্ষতি করা নিশ্চই অপরাধ ।
আর… কারো ক্ষতি করা নিশ্চই অপরাধ ।
তাই নিজ দায়িত্বে ব্যাবহার করুন ।
শেয়ার করলাম আপনাদের জানার জন্য ।
ABOUT ME
Hi all. This is My Frist Blog. We're providing content for Bold site and we’ve been in internet, social media and affiliate for too long time and its my profession. We are web designer & developer living Bangladesh! What can I say, we are the best..
0 comments :
Post a Comment