সবাইকে সালাম জানিয়ে আমার আজকের
টিউন শুরু করতে যাচ্ছি। আজকের
টিউনটি হ্যাকিং নিয়ে। এটা কিন্তু
আবার বেসিক হ্যাকিং। যারা এ
জগতে একদম নতুন শুধু তাদের জন্য
আজকের এ পোস্ট। আগেই বলে নিই
যে আমি কোন হ্যাকার না,
হ্যাকিং জগতের একজন
শিক্ষার্থী শুধু। কয়েকদিন যাবৎ
আমার কাছে PC না থাকার
কারণে এন্ড্রয়েড দিয়ে হ্যাকিং ট্রাই
করতে হচ্ছে। তাই এন্ড্রয়েড
দিয়ে হ্যাকিং এর টিউটোরিয়াল
গুলো শেয়ার করছি।
তবে শুরু করে দেই আজকের পর্ব।
আপনারা হয়তো আমার আগের টিউন
থেকে DroidSQLi এন্ড্রয়েড
এ্যাপটি ডাউনলোড করেছেন।
যারা এখনোও করেন নি, তারা আমার
আগের টিউন দেখে এ্যাপটি ডাউনলোড
করে নিন।
আজকে আমরা এ্যাপটি দিয়ে সাইটের
এডমিন ইউজারনেম এবং পাসওয়ার্ড বের
করবো।
এবার আপনার ওয়েব ব্রাইজার
দিয়ে গুগলে ঢুকে Sqli vurnable সাইট বের
করার ডর্ক লিখে সার্চ করুন।
নিচে Sqli vurnable সাইট বের করার
কয়েকটি কমন গুগল ডর্ক দিলাম।
"inurl:.php?id="
"inurl:index.php?id="
"inurl:view.php?id="
"inurl:game.php?id="
"inurl:cart.php?id="
"inurl:contactphp?id="
"inurl:main.php?id="
"inurl:go.php?id="
আর কোন নির্দিষ্ট দেশের সাইট বের
করার জন্য শেষে site: দিতে পারেন।
যেমন আমি ভারতীয় সাইট বের করার
জন্য লিখলাম
"inurl:index.php?id="site:.in
প্রচুর সাইট আপনার সামনে হাজির
হবে। যেকোন একটিকে ঢুকেন।
লিংকগুলোর ধরণ এমন হবে :
http://site.com/index.php?id=13
এবার লিংকের শেষে ' চিহ্ন যোগ
করে ঢুকুন। যদি কোন ইরর দেখায়
তবে সাইটটি vurnable।
আমি একটি সাইট নিলাম। আমারটার
লিংক হলো
www.amfashion.in/page.php?id=42
এবার ' চিহ্ন যোগ করার পর সাইটটির
হেডারে এরর দেখালো । তার
মানে সাইটটি vurnable.
আপনি একটি vurnable সাইটের লিংক
নিয়ে নিন।
এবার ডাউনলোড করা DroidSQLi
এ্যাপটিতে ঢুকুন। এবার Target Url
বক্সে আপনার
দেওয়া লিংকটি দিয়ে উপরের Inject
বাটনে চাপ দিন। আমি আমার
লিংকটি দিলাম। কিছুক্ষণ
অপেক্ষা করুন। দেখবেন আপনার
সামনে পুরো ডাটাবেজ চলে এসেছে।
নিচের স্কিনশটটি দেখুন। আমার
দেওয়া লিংকের ডাটাবেজ চলে এসেছে।
main
console এ কোন পদ্ধতিতে কাজ
হয়েছে সেটা দেখাবে। আমার
এখানে Normal Injection এ হয়েছে।
Datsbase information এ ডেটাবেইজে এর
ভার্সন, নাম, ইউজার দেখা যাচ্ছে।
আর একদম নিচে ২ টি ডেটাবেইজ
দেখা যাচ্ছে।
1. amfashion_cmstwo
2. information_schema
আমাদের প্রথম ডেটাবেইজটি দরকার।
কারণ information_schema তে সাইটের
কিছু তথ্য থাকে, যেটা আমাদের দরকার
না। আপনি আপনার
পাওয়া ডেটাবেইজে ঢুকুন।
আমি amfashion_cmstwo তে ঢুকলাম।
নিচের মতো কিছু ডেটাবেইজ টেবিল
দেখাবে । আপনার ওখানেও কিছু টেবিল
দেখাবে।
এর মধ্যে admin, login এই
দুইটা টেবিলে এডমিন এর তথ্য থাকার
কথা।
আমি login টেবিলে ঢুকলাম।
এবার user_name এবং user_password
দুইটাতে মার্ক করে Get Records
বাটনে চাপ দিলাম। এবার এডমিন
ইউজারের ইউজারনেম এবং পাসওয়ার্ড
দেখা যাচ্ছে।
এখানের gipl এডমিন ইউজারনেম
এবং current ইউজারের পাসওয়ার্ড।
হে হে, পেয়ে গেলাম এডমিন এর ডাটা।
আপনিও তো পেয়েছেন, তাই না ?
এবার সাইটের এডমিন প্যানেল খুজে বের
করুন। আমার পাওয়া সাইটের এডমিন
প্যানেলের লিংক পেলাম :
amfashion.in/admin
আপনি প্রথমে সাইটের নামের শেষে কমন
কয়েকটি admin panel লিংক দিয়ে ট্রাই
করেন। যেমন:
site.com/admin
site.com/admin.php
site.com/login
site.com/login.php
site.com/administrator
এগুলো না হলে অনলাই এডমিন প্যনেল
ফাইন্ডার দিয়ে এডমিন প্যানেল
খুজতে পারেন। আর
পিসি ইউজাররা Havij
দিয়ে একসাথে inject এবং Admin panel
দুটোই করতে পারেন।
এডমিন প্যানেলে গিয়ে আপনার শেল
আপলোড করেন। আর ডিফেজ পেইজ
আপলোড করে সাইটটি ডিফেস করেন।
আজ এ পর্যন্ত। আগামী টিউনে শেল
আপলোড করে ডিফেস
করা নিয়ে লিখবো।
টিউন শুরু করতে যাচ্ছি। আজকের
টিউনটি হ্যাকিং নিয়ে। এটা কিন্তু
আবার বেসিক হ্যাকিং। যারা এ
জগতে একদম নতুন শুধু তাদের জন্য
আজকের এ পোস্ট। আগেই বলে নিই
যে আমি কোন হ্যাকার না,
হ্যাকিং জগতের একজন
শিক্ষার্থী শুধু। কয়েকদিন যাবৎ
আমার কাছে PC না থাকার
কারণে এন্ড্রয়েড দিয়ে হ্যাকিং ট্রাই
করতে হচ্ছে। তাই এন্ড্রয়েড
দিয়ে হ্যাকিং এর টিউটোরিয়াল
গুলো শেয়ার করছি।
তবে শুরু করে দেই আজকের পর্ব।
আপনারা হয়তো আমার আগের টিউন
থেকে DroidSQLi এন্ড্রয়েড
এ্যাপটি ডাউনলোড করেছেন।
যারা এখনোও করেন নি, তারা আমার
আগের টিউন দেখে এ্যাপটি ডাউনলোড
করে নিন।
আজকে আমরা এ্যাপটি দিয়ে সাইটের
এডমিন ইউজারনেম এবং পাসওয়ার্ড বের
করবো।
এবার আপনার ওয়েব ব্রাইজার
দিয়ে গুগলে ঢুকে Sqli vurnable সাইট বের
করার ডর্ক লিখে সার্চ করুন।
নিচে Sqli vurnable সাইট বের করার
কয়েকটি কমন গুগল ডর্ক দিলাম।
"inurl:.php?id="
"inurl:index.php?id="
"inurl:view.php?id="
"inurl:game.php?id="
"inurl:cart.php?id="
"inurl:contactphp?id="
"inurl:main.php?id="
"inurl:go.php?id="
আর কোন নির্দিষ্ট দেশের সাইট বের
করার জন্য শেষে site: দিতে পারেন।
যেমন আমি ভারতীয় সাইট বের করার
জন্য লিখলাম
"inurl:index.php?id="site:.in
প্রচুর সাইট আপনার সামনে হাজির
হবে। যেকোন একটিকে ঢুকেন।
লিংকগুলোর ধরণ এমন হবে :
http://site.com/index.php?id=13
এবার লিংকের শেষে ' চিহ্ন যোগ
করে ঢুকুন। যদি কোন ইরর দেখায়
তবে সাইটটি vurnable।
আমি একটি সাইট নিলাম। আমারটার
লিংক হলো
www.amfashion.in/page.php?id=42
এবার ' চিহ্ন যোগ করার পর সাইটটির
হেডারে এরর দেখালো । তার
মানে সাইটটি vurnable.
আপনি একটি vurnable সাইটের লিংক
নিয়ে নিন।
এবার ডাউনলোড করা DroidSQLi
এ্যাপটিতে ঢুকুন। এবার Target Url
বক্সে আপনার
দেওয়া লিংকটি দিয়ে উপরের Inject
বাটনে চাপ দিন। আমি আমার
লিংকটি দিলাম। কিছুক্ষণ
অপেক্ষা করুন। দেখবেন আপনার
সামনে পুরো ডাটাবেজ চলে এসেছে।
নিচের স্কিনশটটি দেখুন। আমার
দেওয়া লিংকের ডাটাবেজ চলে এসেছে।
main
console এ কোন পদ্ধতিতে কাজ
হয়েছে সেটা দেখাবে। আমার
এখানে Normal Injection এ হয়েছে।
Datsbase information এ ডেটাবেইজে এর
ভার্সন, নাম, ইউজার দেখা যাচ্ছে।
আর একদম নিচে ২ টি ডেটাবেইজ
দেখা যাচ্ছে।
1. amfashion_cmstwo
2. information_schema
আমাদের প্রথম ডেটাবেইজটি দরকার।
কারণ information_schema তে সাইটের
কিছু তথ্য থাকে, যেটা আমাদের দরকার
না। আপনি আপনার
পাওয়া ডেটাবেইজে ঢুকুন।
আমি amfashion_cmstwo তে ঢুকলাম।
নিচের মতো কিছু ডেটাবেইজ টেবিল
দেখাবে । আপনার ওখানেও কিছু টেবিল
দেখাবে।
এর মধ্যে admin, login এই
দুইটা টেবিলে এডমিন এর তথ্য থাকার
কথা।
আমি login টেবিলে ঢুকলাম।
এবার user_name এবং user_password
দুইটাতে মার্ক করে Get Records
বাটনে চাপ দিলাম। এবার এডমিন
ইউজারের ইউজারনেম এবং পাসওয়ার্ড
দেখা যাচ্ছে।
এখানের gipl এডমিন ইউজারনেম
এবং current ইউজারের পাসওয়ার্ড।
হে হে, পেয়ে গেলাম এডমিন এর ডাটা।
আপনিও তো পেয়েছেন, তাই না ?
এবার সাইটের এডমিন প্যানেল খুজে বের
করুন। আমার পাওয়া সাইটের এডমিন
প্যানেলের লিংক পেলাম :
amfashion.in/admin
আপনি প্রথমে সাইটের নামের শেষে কমন
কয়েকটি admin panel লিংক দিয়ে ট্রাই
করেন। যেমন:
site.com/admin
site.com/admin.php
site.com/login
site.com/login.php
site.com/administrator
এগুলো না হলে অনলাই এডমিন প্যনেল
ফাইন্ডার দিয়ে এডমিন প্যানেল
খুজতে পারেন। আর
পিসি ইউজাররা Havij
দিয়ে একসাথে inject এবং Admin panel
দুটোই করতে পারেন।
এডমিন প্যানেলে গিয়ে আপনার শেল
আপলোড করেন। আর ডিফেজ পেইজ
আপলোড করে সাইটটি ডিফেস করেন।
আজ এ পর্যন্ত। আগামী টিউনে শেল
আপলোড করে ডিফেস
করা নিয়ে লিখবো।