Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- হাই, আমি FabiHaXor!! From Bangladesh Junior Black Hat Hackers!
- আজকে আমরা বাংলায় শিখব কিভাবে SQL Injection করে সাইট এর ডাটাবেজ বের করতে হয়।
- এই ভিডিও শুধু মাত্র নুব দের।
- সো, চলুন শুরু করা যাক
- এই খানে আমরা একটা সিঙ্গেল কোটেশন ( ' )দিবো দেখব সাইট ভুলনারেবল কিনা, যাচাই করব
- টারগেটঃ http://www.h-alaufiauditing.com.sa/en/index.php?page_id=8
- দেখেন কিছুটা পরিবর্তন এসেছে, কিছু লেখা হাইড হয়েগেছে,
- SQL Injection এর এই রকম কয়েকটা লেখা আসে, আমরা পরবর্তিতে দেখব।
- এইটা কে আমরা বলে থাকি SQL Injection গুগল ডরক্স!! "index.php?id="
- ওই সিঙ্গেল কোটেশন দিলে এই রকম না ও আসতে পারে, সাইট এর গ্রাফিকাল ডিজাইন এর উপর হিসাব করে,
- তো আমি চেস্টা করব, SQL Injection নিয়ে পুরো পুরি তুলে ধরতে,
- এই কারনেই আমি বাংলায় বলছি।
- এই রকম আরো নানা ধরনের এরর আসতে পারে, আমার আগের সাইট এ যেমন কিছু লেখা হাইড হয়ে গিয়েছিলো।
- হুম আশা করি কিছুটা বুঝতে পেরেছেন, দেখি বাকি সাইট গুলা কেমন আসতে পারে।
- এই খানে যেমন আরেক ধরনের এরর আসছে!
- তো অনেক ধরনের এসকিউএল এরর আসতে পারে,
- যাক এবার আসল কাজে যাই,
- তো এইবার এমরা এই এরর টাকে Fixed! করব।
- আপনি চাইলে যেকোন ব্রাউজার ব্যবহার করতে পারেন,
- এনড্রোয়েড এর জন্য রয়েছে Anon HackBar আমি লিঙ্ক দিয়ে দিবো।
- তা ছাড়া অপেরা মিনি, ইউসি ব্রাউজার দিয়ে করতে পারবেন।
- -- - এইটা দিয়ে আমরা এরর Fixed! করে ফেলেছি,
- এরর Fixed! করার জন্য --, বা -- +- দিয়ে করা যায়,
- আবার কিছু কিছু সাইট এ লাগেও না,
- যাক বুঝা গেলো অধিকাংশ এই ভাবেই Fixed! হয়,
- যাই হোক, বাকি ট্রিক গুলা দেখি।
- order by 100 দিয়ে দেখব।
- এই যে যখন ৪ ছিলো তখন ঠিক ছিলো, যেই আমরা ৫ দিছি, অমনি এরর আসছে,
- ওই যে আমরা শুরু তে -- - দিয়ে Fixed! করেছিলাম,
- যেই আমরা ৫ দিছি, তখন সেই এরর আসছে, আর ৪ দিলে সেই এররFixed!
- তার মানে বুঝা গেলো সাইটের টেবিল ৪ টা।
- এখন আমরা ব্যবহার করব union select, আগে ব্যবহার করেছি order by
- এইবার এই শুরু তে একটা (- মাইনাস) দিবো।
- এইটা কে বলে WAF Error, যদিও সব সময় আসে না।
- কিছু কিছু সাইটে আসে, যেমন এই সাইটে আসছে, আচ্ছা আমরা দেখে আসি, কোন গুলা তা আসে না
- দেখেছেন এইবার কিন্ত ওই WAF Error টা আসে নাই।
- যাক পরের ধাপে যাই,
- www.h-alaufiauditing.com.sa/en/index.php?page_id=-8' /*!50000Union*/ Select 1,2,3,4 -- -
- আমাদের হলো ২ এবং ৪, এখন যে কোন একটা নিলেই হবে,
- আমাদের যেহেতু WAF Error ছিলো তাই, WAF DIOS ব্যবহার করেছি, আর যদি না হত তাহলে WAF ব্যবহার করতাম না।
- চলুন দেখি, আসা করি বুঝতে পেরেছেন।
- MySQL Version :: 5.6.41~ MySQL Community Server (GPL)
- Primary Database :: halaufia_awfien
- Database User :: halaufia_root@localhost
- 01. admin :: Database :: (halaufia_awfien)
- 001. id
- 002. user_name
- 003. password
- এডমিন হলো টেবিল নেম, যার মধ্যে ইউজার এবং পাস রয়েছে, তাহলে
- user_name
- password
- এই গুলা হলো কলাম।
- চলুন পাস বের করি।
- আবার সেই এরর, মানে
- WAF Error
- দেখেন এই সাইটে WAF Error নাই,
- তাহলে চলুন আগের সাইটের WAF Error Fixed করে আসি
- adminadmin বুঝা যাচ্ছে না, চলুন একটু ভেঙ্গে দেখি।
- USer: admin
- Pass: admin
- এখন আসি আসল কথায়, সব সাইটে কিন্ত এই রকম সহজ সরল থাকে না, md5, sha1, sha2,base64 এই রকম Encryped করা থাকে,
- সেই গুলা কে আবার Decryped করতে হয়!
- যেমন আমরা দেখে আসি, সেই সব পাস গুলা কেমনে ক্র্যাক করতে হয়,
- ধরেন একটা সাইটের পাস এমন দেখে থাকলো।
- ইউজার এরকমঃ admin
- কিন্তু পাস হলো এরকমঃ 21232f297a57a5a743894a0e4a801fc3
- তো টা কে Decryped করতে হলে হ্যাশ কিলার নামে একটা সাইট আছে ওই খান থেকে
- ক্র্যাক করতে হয়, একটু দেখে নেই আরো পরিস্কার হয়ে যাবে,
- আমরা ইউজার পেলামঃ admin
- পাস হলো এরকমঃ 21232f297a57a5a743894a0e4a801fc3 :
- https://hashkiller.co.uk/md5-decrypter.aspx
- যাক দেখলাম কেমনে হ্যাশ পাসওয়ার্ড ক্রাক করতে হয়,
- এইবার আমাদের লগিন এর পালা!!
- আসলে সব সাইটে এতো সহজ সরল এডমিন প্যানেল থাকে না, হাইড করে রাখে।
- আসলে আমাদের ক্ষেত্রেও হয়, দেখা যায় যে, ৪০, ৪৫ সাইট এসকিউএল করার পর ২,৩ টা
- এডমিন প্যানেল পাওয়া যায়, এই জন্য ধৈর্য হারানো যাবে না।
- দেখবেন এডমিন পাবেন তো পাসওয়ার্ড পাবেন না, পাসওয়ার্ড পাবেন তো এডমিন প্যানেল পাবেন না।
- আবার এমনও হয়, পাসওয়ার্ড, ইউজার নেম সবই পাবেন কিন্তু লগিন হবে না।
- আমারা তো বলালামই ৪০,৪৫ সাইট এসকিউএল করার পর পাই ২,১ টা পাই,
- তাই ধৈর্য হারাবেন না!, ধৈর্য হারাবেন তো, আপনার দ্বারা আর সম্ভব হবে না।
- আজ এই পর্যন্তই,
- আল্লাহ হাফেজ, লগিন করলাম না কারন, লগিন করলেই, ভিডিওটা ব্লক করে দিবে,
- আর হ্যাঁ কোন খারাপ কাজে হ্যাকিং করবেন না।
- বাই, আমি ফাবিহ্যাক্সর, বাংলাদেশ জুনিওর ব্লাক হ্যাট হ্যাকারস!!
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement