ছোট্ট একটি ইনজেকশন দিয়ে নিজের আয়ত্তে নিয়ে নিন ভুলনেরেবল ওয়েবসাইট গুলোকে [Havij 1.15 – Advanced SQL Injection] (নতুন হ্যাকারদের জন্য)
আসসালামুয়ালাইকুম…
সবাইকে জানাচ্ছি ঈদ মুবারক ।
আজকের পোস্টটি নতুন হ্যাকার এবং আমার মত আমজনতাদের জন্য ।
আমরা প্রায়ই শুনে থাকি বিভিন্ন ওয়েবসাইট হ্যাক হওয়ার কথা ।
ওয়েবসাইট হ্যাক করার জন্য নিচে দেওয়া প্রক্রিয়া গুলো ব্যাবহার করা হয়ে থাকে ।
1. SQL INJECTION
2. CROSS SITE SCRIPTING
3. REMOTE FILE INCLUSION
4. LOCAL FILE INCLUSION
5. DDOS ATTACK
6. EXPLOITING VULNERABILITY.
আজ আমার পোস্টের বিষয় SQL INJECTION .
কিভাবে এটা কাজ করে সেটা নিয়ে আলোচনা করব।
প্রথমে এখানে ক্লিক করে প্রয়োজনীয় সফটওয়্যারটি ডাউনলোড করে নিন ( ২.৯ মেগাবাইট )।
Winrar দিয়ে সফটওয়্যারটি Extract করে নিন ।
Havij ওপেন করুন এবং রেজিস্টার করে নিন । সাহায্যের জন্য Registration.txt ফাইলটি দেখুন ।
এবার আমাদের দরকার এমন একটি ওয়েব এড্রেস যার sql vulnerability আছে।
এজন্যে প্রাথমিক ভাবে আমরা গুগলের সাহায্য নেব ।
নিচের যেকোন একটি ডর্ক লিখে বা কপি করে গুগলে সার্চ করুন ।
গুগলের অনেক ডর্ক আছে। আমি এখানে মাত্র কয়েকটি ডর্ক লিস্ট দিলাম ।
আরও ডর্ক পেতে গুগলে google dork sql injection লিখে সার্চ করতে পারেন ।
inurlageid=
inurl:games.php?id=
inurlage.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=d=
inurl:event.php?id=
inurlroduct-item.php?id=
inurl:sql.php?id=
inurl:news_view.php?id=
inurl:select_biblio.php?id=
inurl:humor.php?id=
inurl:aboutbook.php?id=
inurl:fiche_spectacle.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:view.php?id=
inurl:website.php?id=
inurl:hosting_info.php?id=
inurl:gallery.php?id=
inurl:rub.php?idr=
inurl:view_faq.php?id=
inurl:artikelinfo.php?id=
inurl:detail.php?ID=
inurl:index.php?=
এবার দেখুন কিছু ওয়েব সাইটের লিস্ট চলে এসেছে যাদের ওয়েব এড্রেসের শেষে কোন সংখ্যা লেখা । ( যেমনঃ php?id=109 , php?id=7, php?id=68 ইত্যাদি )
যেকোনো একটি ওয়েবসাইটে প্রবেশ করুন ।
ওয়েবএড্রেসের শেষে একটি ‘ দিয়ে Enter চাপুন ।
১ নং ছবিটি দেখুন । আমার বাছাইকৃত ওয়েবএড্রেসটি ছিল http://www.skj.in/products.php?id=22, আমি http://www.skj.in/products.php?id=22′ লিখে Enter চেপেছি ।
দেখুন কোন এরর মেসেজ দেখায় কিনা । যদি এরর মেসেজ দেখায় তাহলে এখান থেকে তথ্য পাওয়ার সম্ভাবনা আছে । কিছু ওয়েবসাইটের পেজের এরর মেসেজ সাদা পেজেও দেখাতে পারে । এটা কোন চিন্তার বিষয় নয় বরং এগুলো থেকে বেশি তথ্য পাওয়া যেতে পারে ।
( আপনারাও এই এড্রেসটি ব্যাবহার করতে পারেন প্রাথমিক ধারণা পেতে ) ।
১।
এবার Havij ওপেন করে Target বক্সে ইউ.আর.এল (URL) টি লিখুন এবং Analyze চাপুন । ( ২ নং ছবি )
এবং শেষ হওয়ার আগ পর্যন্ত অপেক্ষা করুন । ( যে পর্যন্ত current DB: না দেখায় )
যদি current DB: না দেখিয়ে লাল রঙে এরর মেসেজ দেখায় তাহলে অন্য কোন ওয়েবএড্রেস দিয়ে চেষ্টা করুন ।
২।
এবার আমরা এই ওয়েবসাইটের তথ্য বের করব ।
Tables চেপে Get Tables চাপুন এবং কিছুক্ষন অপেক্ষা করুন ।
নিচে ৩ নং ছবিতে দেখুন অনেক গুলো Table পাওয়া গেছে ।
আমাদের Admin / User ইত্যাদি নামের Table খুজে বের করতে হবে, যেগুলো দিয়ে আমরা ওয়েবসাইটটি নিজের আয়ত্তে নিতে পারব ।
আমি এখানে skj_admin এই Table টি চিহ্নিত করেছি ।
৩।
এবার skj_admin এই Table টির columns গুলো বের করতে হবে ।
এজন্য Get columns চাপতে হবে । আমি এখানে ৩ টি column পেয়েছি ।
আমার শুধু user name এবং password দরকার, id নাহলেও চলবে। আমি তিনটিই চিহ্নিত করেছি ।
এবার তথ্য বের করতে Get Data চাপতে হবে ।
দেখুন আমি এখানে প্রয়োজনীয় তথ্য পেয়ে গেছি । ( ৪ নং ছবি )
৪।
আমরা user name এবং password পেয়ে গেছি । এবার আমাদের লগ ইন করার পেজটি খুজে বের করতে হবে ।
এজন্য Find Admin চেপে start চাপতে হবে ।
দেখুন, আমরা ২ টি লগইন পেজের ইউ.আর.এল পেয়েছি ।
যেকোনো একটির উপর মাউস দিয়ে রাইট ক্লিক করে open url চাপুন । ( ৫ নং ছবি )
এবার user name এবং password দিয়ে প্রবেশ করুন । এরপর যা আপনার খুশি… ।
৫।
বিঃদ্রঃ
” Hacking is not a crime ”
” কারো ক্ষতির উদ্দেশ্যে ব্যাবহার করবেন না ”
এ জাতিও কিছুই বলব না ।
হ্যাকিং এ কারও না কারও ক্ষতি তো হয়েই থাকে , সেটা যেকোনো হ্যাকিং হোক না কেন ।
আর… কারো ক্ষতি করা নিশ্চই অপরাধ ।
তাই নিজ দায়িত্বে ব্যাবহার করুন ।
শেয়ার করলাম আপনাদের জানার জন্য ।
পোস্টটি আপনাদের ভাল লাগলে আগামীতে আরও কিছু হ্যাকিং সফটওয়্যার নিয়ে লিখব ।
সুন্দর পোষ্ট । ধন্যবাদ
সুন্দর পোষ্ট শেয়ার করার জন্য আপনাকে ধন্যবাদ ।
ধন্যবাদ শেয়ার করার জন্য।…
মানুয়ালি কেমনে করতে হয় এই বিষয়ে এগে লেখলে নতুন দের জন্য এরো ভাল হত বলে মনে করি …
@মাফিয়া ডন: ভাই ,
কি মিনুয়ালি করার কথা বলছেন ?
Come on Come On!
vai posj ta khub valo laglo.kinto vi amake ki blte parben windows 7 ar user pass unlock krbo kivabe
@rossi.islam:
ei post ti pore dharona nin :
http://www.pchelplinebd.com/archives/36792
ei khan theke boi ti download kore nin :
http://www.pchelplinebd.com/archives/33033
ebong mono jog diye porun.
asha kori parben. 🙂
Thank u vry much for the importnt post.keep it up..more hacking post 😀 :p
you are welcome….. 🙂
hack website ar password change korbo ki kore??
sheta nirvor korbe website er upor….
ejonno website toiri kora shomporke apnar basic knowledge thakte hobe….
tahole kivabe password change korte hoy sheta bujhte parben…
খুবই সুন্দর হয়েছে। চালিয়ে যান।
মন্তব্যের জন্য ধন্যবাদ আপনাকে…
আপনাদের মন্তব্য গুলোই আমাদের লেখার প্রেরণা যোগায়… 🙂
খুবেই সুন্দর উপস্থাপনার মাধ্যমে বুজিয়ে দেওয়ার জন্য অসংখ্য ধন্যবাদ।
দারুন টিউন
@MD Shagor:
nice comment ..
Thanks…