ছোট্ট একটি ইনজেকশন দিয়ে নিজের আয়ত্তে নিয়ে নিন ভুলনেরেবল ওয়েবসাইট গুলোকে [Havij 1.15 – Advanced SQL Injection] (নতুন হ্যাকারদের জন্য)

আসসালামুয়ালাইকুম…

সবাইকে জানাচ্ছি ঈদ মুবারক ।

আজকের পোস্টটি নতুন হ্যাকার এবং আমার মত আমজনতাদের জন্য ।

আমরা প্রায়ই শুনে থাকি বিভিন্ন ওয়েবসাইট হ্যাক হওয়ার কথা ।
ওয়েবসাইট হ্যাক করার জন্য নিচে দেওয়া  প্রক্রিয়া গুলো ব্যাবহার করা হয়ে থাকে ।

1. SQL INJECTION

2. CROSS SITE SCRIPTING

3. REMOTE FILE INCLUSION

4. LOCAL FILE INCLUSION

5. DDOS ATTACK

6. EXPLOITING VULNERABILITY.

আজ আমার পোস্টের বিষয় SQL INJECTION .

কিভাবে এটা কাজ করে সেটা নিয়ে আলোচনা করব।

প্রথমে এখানে ক্লিক করে প্রয়োজনীয় সফটওয়্যারটি ডাউনলোড করে নিন ( ২.৯ মেগাবাইট )।

Winrar দিয়ে সফটওয়্যারটি Extract করে নিন ।

Havij ওপেন করুন এবং রেজিস্টার করে নিন । সাহায্যের জন্য Registration.txt ফাইলটি দেখুন ।
এবার আমাদের দরকার এমন একটি ওয়েব এড্রেস যার sql vulnerability  আছে।

এজন্যে প্রাথমিক ভাবে আমরা গুগলের সাহায্য নেব ।
নিচের যেকোন একটি ডর্ক লিখে বা কপি করে গুগলে সার্চ করুন ।
গুগলের অনেক ডর্ক আছে। আমি এখানে মাত্র কয়েকটি ডর্ক লিস্ট দিলাম ।
আরও ডর্ক পেতে গুগলে google dork sql injection লিখে সার্চ করতে পারেন ।

inurlageid=
inurl:games.php?id=
inurlage.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=d=
inurl:event.php?id=
inurlroduct-item.php?id=
inurl:sql.php?id=
inurl:news_view.php?id=
inurl:select_biblio.php?id=
inurl:humor.php?id=
inurl:aboutbook.php?id=
inurl:fiche_spectacle.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:view.php?id=
inurl:website.php?id=
inurl:hosting_info.php?id=
inurl:gallery.php?id=
inurl:rub.php?idr=
inurl:view_faq.php?id=
inurl:artikelinfo.php?id=
inurl:detail.php?ID=
inurl:index.php?=

এবার দেখুন কিছু ওয়েব সাইটের লিস্ট চলে এসেছে যাদের ওয়েব এড্রেসের শেষে কোন সংখ্যা লেখা । ( যেমনঃ php?id=109 , php?id=7, php?id=68 ইত্যাদি )

যেকোনো একটি ওয়েবসাইটে প্রবেশ করুন ।

ওয়েবএড্রেসের শেষে একটি  ‘ দিয়ে Enter চাপুন ।
১ নং ছবিটি দেখুন । আমার বাছাইকৃত ওয়েবএড্রেসটি ছিল http://www.skj.in/products.php?id=22, আমি http://www.skj.in/products.php?id=22′ লিখে Enter চেপেছি ।
দেখুন কোন এরর মেসেজ দেখায় কিনা । যদি এরর মেসেজ দেখায় তাহলে এখান থেকে তথ্য পাওয়ার সম্ভাবনা আছে । কিছু ওয়েবসাইটের পেজের এরর মেসেজ সাদা পেজেও দেখাতে পারে । এটা কোন চিন্তার বিষয় নয় বরং এগুলো থেকে বেশি তথ্য পাওয়া যেতে পারে ।
( আপনারাও এই এড্রেসটি ব্যাবহার করতে পারেন প্রাথমিক ধারণা পেতে ) ।

১।

এবার Havij ওপেন করে Target বক্সে ইউ.আর.এল (URL) টি লিখুন এবং Analyze চাপুন । ( ২ নং ছবি )
এবং শেষ হওয়ার আগ পর্যন্ত অপেক্ষা করুন । ( যে পর্যন্ত current DB: না দেখায় )
যদি current DB: না দেখিয়ে লাল রঙে এরর মেসেজ দেখায় তাহলে অন্য কোন ওয়েবএড্রেস  দিয়ে চেষ্টা করুন ।

২।

এবার আমরা এই ওয়েবসাইটের তথ্য বের করব ।
Tables চেপে Get Tables চাপুন এবং কিছুক্ষন অপেক্ষা করুন ।
নিচে ৩ নং ছবিতে দেখুন অনেক গুলো Table পাওয়া গেছে ।
আমাদের Admin / User ইত্যাদি নামের Table খুজে বের করতে হবে, যেগুলো দিয়ে আমরা ওয়েবসাইটটি নিজের আয়ত্তে নিতে পারব ।
আমি এখানে skj_admin এই Table টি চিহ্নিত করেছি ।

৩।

এবার skj_admin এই Table টির columns গুলো বের করতে হবে ।
এজন্য Get columns চাপতে হবে । আমি এখানে ৩ টি column পেয়েছি ।
আমার শুধু user name এবং password দরকার, id নাহলেও চলবে। আমি তিনটিই চিহ্নিত করেছি ।
এবার তথ্য বের করতে Get Data চাপতে হবে ।
দেখুন আমি এখানে প্রয়োজনীয় তথ্য পেয়ে গেছি । ( ৪ নং ছবি )

৪।

আমরা user name এবং password পেয়ে গেছি । এবার আমাদের লগ ইন  করার পেজটি খুজে বের করতে হবে ।
এজন্য Find Admin চেপে start চাপতে হবে ।
দেখুন, আমরা ২ টি লগইন পেজের ইউ.আর.এল পেয়েছি ।
যেকোনো একটির উপর মাউস দিয়ে রাইট ক্লিক করে open url চাপুন । ( ৫ নং ছবি )
এবার user name এবং password দিয়ে প্রবেশ করুন । এরপর যা আপনার খুশি… ।

৫।

বিঃদ্রঃ

” Hacking is not a crime ”

” কারো ক্ষতির উদ্দেশ্যে ব্যাবহার করবেন না ”

এ জাতিও কিছুই বলব না ।

হ্যাকিং এ কারও না কারও ক্ষতি তো হয়েই থাকে , সেটা যেকোনো হ্যাকিং হোক না কেন ।
আর… কারো ক্ষতি করা নিশ্চই অপরাধ ।

তাই নিজ দায়িত্বে ব্যাবহার করুন ।

শেয়ার করলাম আপনাদের জানার জন্য ।

পোস্টটি আপনাদের ভাল লাগলে আগামীতে আরও কিছু হ্যাকিং সফটওয়্যার নিয়ে লিখব ।