ছোট্ট একটি ইনজেকশন দিয়ে নিজের আয়ত্তে নিয়ে নিন ভুলনেরেবল ওয়েবসাইট গুলোকে [Havij 1.15 – Advanced SQL Injection] (নতুন হ্যাকারদের জন্য)

16 210

 


আসসালামুয়ালাইকুম…

সবাইকে জানাচ্ছি ঈদ মুবারক ।

আজকের পোস্টটি নতুন হ্যাকার এবং আমার মত আমজনতাদের জন্য ।

আমরা প্রায়ই শুনে থাকি বিভিন্ন ওয়েবসাইট হ্যাক হওয়ার কথা ।
ওয়েবসাইট হ্যাক করার জন্য নিচে দেওয়া  প্রক্রিয়া গুলো ব্যাবহার করা হয়ে থাকে ।

1. SQL INJECTION

2. CROSS SITE SCRIPTING

3. REMOTE FILE INCLUSION

4. LOCAL FILE INCLUSION

5. DDOS ATTACK

6. EXPLOITING VULNERABILITY.

আজ আমার পোস্টের বিষয় SQL INJECTION .

কিভাবে এটা কাজ করে সেটা নিয়ে আলোচনা করব।

প্রথমে এখানে ক্লিক করে প্রয়োজনীয় সফটওয়্যারটি ডাউনলোড করে নিন ( ২.৯ মেগাবাইট )।

Winrar দিয়ে সফটওয়্যারটি Extract করে নিন ।

Havij ওপেন করুন এবং রেজিস্টার করে নিন । সাহায্যের জন্য Registration.txt ফাইলটি দেখুন ।
এবার আমাদের দরকার এমন একটি ওয়েব এড্রেস যার sql vulnerability  আছে।

এজন্যে প্রাথমিক ভাবে আমরা গুগলের সাহায্য নেব ।
নিচের যেকোন একটি ডর্ক লিখে বা কপি করে গুগলে সার্চ করুন ।
গুগলের অনেক ডর্ক আছে। আমি এখানে মাত্র কয়েকটি ডর্ক লিস্ট দিলাম ।
আরও ডর্ক পেতে গুগলে google dork sql injection লিখে সার্চ করতে পারেন ।

inurlageid=
inurl:games.php?id=
inurlage.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=d=
inurl:event.php?id=
inurlroduct-item.php?id=
inurl:sql.php?id=
inurl:news_view.php?id=
inurl:select_biblio.php?id=
inurl:humor.php?id=
inurl:aboutbook.php?id=
inurl:fiche_spectacle.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:view.php?id=
inurl:website.php?id=
inurl:hosting_info.php?id=
inurl:gallery.php?id=
inurl:rub.php?idr=
inurl:view_faq.php?id=
inurl:artikelinfo.php?id=
inurl:detail.php?ID=
inurl:index.php?=

এবার দেখুন কিছু ওয়েব সাইটের লিস্ট চলে এসেছে যাদের ওয়েব এড্রেসের শেষে কোন সংখ্যা লেখা । ( যেমনঃ php?id=109 , php?id=7, php?id=68 ইত্যাদি )

যেকোনো একটি ওয়েবসাইটে প্রবেশ করুন ।

ওয়েবএড্রেসের শেষে একটি  ‘ দিয়ে Enter চাপুন ।
১ নং ছবিটি দেখুন । আমার বাছাইকৃত ওয়েবএড্রেসটি ছিল http://www.skj.in/products.php?id=22, আমি http://www.skj.in/products.php?id=22′ লিখে Enter চেপেছি ।
দেখুন কোন এরর মেসেজ দেখায় কিনা । যদি এরর মেসেজ দেখায় তাহলে এখান থেকে তথ্য পাওয়ার সম্ভাবনা আছে । কিছু ওয়েবসাইটের পেজের এরর মেসেজ সাদা পেজেও দেখাতে পারে । এটা কোন চিন্তার বিষয় নয় বরং এগুলো থেকে বেশি তথ্য পাওয়া যেতে পারে ।
( আপনারাও এই এড্রেসটি ব্যাবহার করতে পারেন প্রাথমিক ধারণা পেতে ) ।

১।

 

এবার Havij ওপেন করে Target বক্সে ইউ.আর.এল (URL) টি লিখুন এবং Analyze চাপুন । ( ২ নং ছবি )
এবং শেষ হওয়ার আগ পর্যন্ত অপেক্ষা করুন । ( যে পর্যন্ত current DB: না দেখায় )
যদি current DB: না দেখিয়ে লাল রঙে এরর মেসেজ দেখায় তাহলে অন্য কোন ওয়েবএড্রেস  দিয়ে চেষ্টা করুন ।

২।

এবার আমরা এই ওয়েবসাইটের তথ্য বের করব ।
Tables চেপে Get Tables চাপুন এবং কিছুক্ষন অপেক্ষা করুন ।
নিচে ৩ নং ছবিতে দেখুন অনেক গুলো Table পাওয়া গেছে ।
আমাদের Admin / User ইত্যাদি নামের Table খুজে বের করতে হবে, যেগুলো দিয়ে আমরা ওয়েবসাইটটি নিজের আয়ত্তে নিতে পারব ।
আমি এখানে skj_admin এই Table টি চিহ্নিত করেছি ।

৩।

এবার skj_admin এই Table টির columns গুলো বের করতে হবে ।
এজন্য Get columns চাপতে হবে । আমি এখানে ৩ টি column পেয়েছি ।
আমার শুধু user name এবং password দরকার, id নাহলেও চলবে। আমি তিনটিই চিহ্নিত করেছি ।
এবার তথ্য বের করতে Get Data চাপতে হবে ।
দেখুন আমি এখানে প্রয়োজনীয় তথ্য পেয়ে গেছি । ( ৪ নং ছবি )

৪।

 

 

আমরা user name এবং password পেয়ে গেছি । এবার আমাদের লগ ইন  করার পেজটি খুজে বের করতে হবে ।
এজন্য Find Admin চেপে start চাপতে হবে ।
দেখুন, আমরা ২ টি লগইন পেজের ইউ.আর.এল পেয়েছি ।
যেকোনো একটির উপর মাউস দিয়ে রাইট ক্লিক করে open url চাপুন । ( ৫ নং ছবি )
এবার user name এবং password দিয়ে প্রবেশ করুন । এরপর যা আপনার খুশি… ।

৫।

 

 

 

 

বিঃদ্রঃ

” Hacking is not a crime ”

” কারো ক্ষতির উদ্দেশ্যে ব্যাবহার করবেন না ”

এ জাতিও কিছুই বলব না ।

হ্যাকিং এ কারও না কারও ক্ষতি তো হয়েই থাকে , সেটা যেকোনো হ্যাকিং হোক না কেন ।
আর… কারো ক্ষতি করা নিশ্চই অপরাধ ।

তাই নিজ দায়িত্বে ব্যাবহার করুন ।

শেয়ার করলাম আপনাদের জানার জন্য ।

 

পোস্টটি আপনাদের ভাল লাগলে আগামীতে আরও কিছু হ্যাকিং সফটওয়্যার নিয়ে লিখব ।

16 মন্তব্য
  1. Nafiz Ur Rahman বলেছেন

    সুন্দর পোষ্ট । ধন্যবাদ

  2. sabuj4u বলেছেন

    সুন্দর পোষ্ট শেয়ার করার জন্য আপনাকে ধন্যবাদ ।

  3. নাঈম প্রধান বলেছেন

    ধন্যবাদ শেয়ার করার জন্য।…

  4. মাফিয়া ডন বলেছেন

    মানুয়ালি কেমনে করতে হয় এই বিষয়ে এগে লেখলে নতুন দের জন্য এরো ভাল হত বলে মনে করি …

    1. Real বলেছেন

      @মাফিয়া ডন: ভাই ,
      কি মিনুয়ালি করার কথা বলছেন ?

  5. Mahabur Sheikh. বলেছেন

    Come on Come On!

  6. rossi.islam বলেছেন

    vai posj ta khub valo laglo.kinto vi amake ki blte parben windows 7 ar user pass unlock krbo kivabe

    1. Real বলেছেন

      @rossi.islam:
      ei post ti pore dharona nin :
      http://www.pchelplinebd.com/archives/36792

      ei khan theke boi ti download kore nin :
      http://www.pchelplinebd.com/archives/33033

      ebong mono jog diye porun.
      asha kori parben. 🙂

  7. Sei chele ti বলেছেন

    Thank u vry much for the importnt post.keep it up..more hacking post 😀 :p

    1. Real বলেছেন

      you are welcome….. 🙂

  8. DIGITAL PAGOL বলেছেন

    hack website ar password change korbo ki kore??

    1. Real বলেছেন

      sheta nirvor korbe website er upor….
      ejonno website toiri kora shomporke apnar basic knowledge thakte hobe….
      tahole kivabe password change korte hoy sheta bujhte parben…

  9. MD Shagor বলেছেন

    খুবই সুন্দর হয়েছে। চালিয়ে যান।

    1. Real বলেছেন

      মন্তব্যের জন্য ধন্যবাদ আপনাকে…
      আপনাদের মন্তব্য গুলোই আমাদের লেখার প্রেরণা যোগায়… 🙂

  10. MD Shagor বলেছেন

    খুবেই সুন্দর উপস্থাপনার মাধ্যমে বুজিয়ে দেওয়ার জন্য অসংখ্য ধন্যবাদ।
    দারুন টিউন

    1. Real বলেছেন

      @MD Shagor:
      nice comment ..
      Thanks…

উত্তর দিন