ওয়েব হ্যাকিং- পার্ট-২(ওয়ার্ডপ্রেস সাইট এ শেল আপলোড)

পার্ট ১=>

ওয়েব হ্যাকিং- পার্ট-১(শেল কি?)

বর্তমানে আমাদের সাইবার ওয়ার্ল্ড এর সর্বাধিক ব্যবহৃত সিএমএস হচ্ছে ওয়ার্ডপ্রেস। পিএইচপি তে বানানো এই সিএমএসটি তে যেমন রয়েছে বেশি সুযোগ সুবিধা, ঠিক তেমনি রয়েছে বাগ বা ভালনারিবিলিটি। তবে এর বেশিরভাগ দুর্বলতা পাওয়া যায় ওয়ার্ডপ্রেস সাইটটির ব্যবহৃত প্লাগিন গুলোতে। প্লাগিন এর কারনেই মূলত ওয়ার্ডপ্রেস এর এক্সপ্লইট গুলো তৈরি করা হয়। বেশির ভাগ ওয়ার্ডপ্রেস সাইট হ্যাক হয় সিম্লিঙ্ক করার মাধ্যমে। (সিম্লিঙ্ক সম্পর্কে পরে একটি পোস্ট লিখব)

আমি আমার গত পোস্ট এ শেল কি তা বলেছিলাম, এবার দেখাই কিভাবে ওয়ার্ডপ্রেস সাইট এ শেল আপলোড করে ডিফেস দেওয়া যায়, যদি আপনার কাছে উইসারনেম- পাসওয়ার্ড থাকে।

মনে করুন আপনি কোন ভাবে একটি সাইট এর উইসার নেইম , পাসওয়ার্ড পেয়েছেন, আপনি এখন অই সাইট টায় শেল আপলোড করতে চান।

এখন প্রশ্ন- কিভাবে করবেন?

আমরা জানি ওয়ার্ডপ্রেস সাইট এর অধিকাংশ অ্যাডমিন প্যানেল থাকে /wp-login.php -তে। এইবার আমরা মনে করি একটা সাইট এ লগিন করলাম-

লগিন করার পর আমাদের ড্যাসবোর্ড পেইজ টা দেখতে পারবো। এরপর আমরা বাম সাইড এর Appearance ট্যাব এ ঢুকবো, ট্যাব এর Editor অপশনটি তে যাব। –

এইখানে যাওয়ার পর আমরা দেখতে পাব- থিম এর নাম, আমরা প্রয়োজনে থিমটি চেঞ্জ করে নিতে পারি, যেই থিম এ আমরা শেল করতে চাই,

একটি ইডিটর, ডানে প্লাগিনটির পিএইচপি ফাইল গুলো-

কিন্তু প্রথমে যে ফাইলটি, ইডিটরে ওপেন করা আছে সেইটা হল- থিমটির সিএসএস (css) ফাইল।

কিন্তু আমরা যেহেতু শেল আপলোড করব, সেইক্ষেত্রে একটা পিএইচপি ফাইল সিলেক্ট করে ইডিট করব, মানে আরকি আমাদের শেল কোডটা রিপ্লেস করবো। – এইখানে footer.php ফাইলটা আমরা সিলেক্ট করলাম, আর আমরা ইউআরএল টা চেক করি- এইখানে ফাইল নেইম এবং থিম নেইম টা উল্লেখ করা আছে। আমরা ফাইল নেইম আর থিম নেইম একটা নোটপ্যাড এ সেভ করে রাখি, পরবর্তীতে আমাদের শেল এর লোকেশন বের করতে কাজে আসবে।

এইবার যেই এডিটর টা রয়েছে অইটার পিএইচপি কোডটা আমরা ইডিট করি, আমরা আপাতত একটা Madspot shell  ব্যবহার করি, কোড টা আমরা রিপ্লেস করে আপডেট ফাইল এ ক্লিক করলাম।

আমাদের শেল আপলোড এর প্রক্রিয়া শেষ। এইবার আমরা দেখি- আমাদের আপলোড করা শেল কথায় আছে, মানে শেল এর লিঙ্কটা খুঁজে বের করি।

শেল এর লিঙ্ক হবে এইরকম একটা লোকেশন এ- /wp-content/themes/[theme name]/[file name]

আমরা যখন পিএইচপি ইডিট করেছিলাম তখন আমাদের ফাইল নেইম ছিল footer.php এবং থিম নেইম ছিল- FootballSite

সুতরাং আমাদের শেল এর লিঙ্ক টা হবে- /wp-content/themes/FootballSite/footer.php

এইবার আপনি /public_html/ এ গিয়ে যা খুশি ইডিট, ডিলেট, অ্যাড, আপলোড করতে পারেন 🙂

আমি আজকে শুধুমাত্র ওয়ার্ডপ্রেস এ শেল আপলোড এর ধারণা দিলাম, কিভাবে ওয়ার্ডপ্রেস সাইট এর পাসওয়ার্ড পাবেন অইটা পরে অন্য পোস্ট এ লিখব।

পুনশ্চঃ কেও ট্রিকবিডি এর সাইট এ আবাএ শেল আপলোড করতে যাইয়েন না 😛 কারণ কোন সাইট এ শেল করতে গেলে অই সাইট এর অ্যাডমিন অ্যাক্সেস লাগে, কিন্তু ট্রিকবিডি তে আপনার যা আছে, তা হল উইসার লগিন। তবুও যদি কেও শেল আপলোড করতে পারেন তবে অ্যাডমিন রানা ভাই এর সাথে যোগাযোগ করুন। আশাকরি যজ্ঞ পুরষ্কার দিবেন 😀