আসসালামু আলাইকুম।
ওয়েবসাইট হ্যাকিং এর অনেক পদ্ধতি আছে।
Sql Injection টিউটোরিয়াল আলরেডি পোস্ট করেছি যেটা অন্যতম একটা বেস্ট পদ্ধতি। Sql injection সম্ভব হয় যখন ওয়েবসাইট sql ভালনারেবল হয়।
তেমনি ওয়েবসাইটের অন্যান্য দূর্বলতাকে ব্যবহার করে আমরা ওয়েবসাইটে অ্যাক্সেস করতে পারি।
ওয়েবসাইটের কন্ট্রোল হাতে নেয়ার সাধারণ পদ্ধতি এডমিন প্যানেলে সঠিক user and Password দিয়ে লগিন করা।Sql injection এ পাসওয়ার্ড বের করার পর সাধারণত আমরা এই ভাবেই এডমিন প্যানেলে অ্যাক্সেস নিয়ে থাকি।কিন্তু একটা কমন সমস্যা sqli এ হয়ে থাকে।তা হলো পাসওয়ার্ড ক্র্যাক হয় না।আবার অনেক সময় পাসওয়ার্ড ক্র্যাক হলেও এই পাসওয়ার্ড ভুল দেখায়।ফলে আপনার এতো কষ্ট করে sqli করলেন তার লাভ হলো না।যদিও স্কিল বারলো। কিন্তু এডমিন প্যানেলে অ্যাক্সেস করতে পারলেন না।
তাই আজ এডমিন প্যানেল বাইপাস কিভাবে করতে হয় শেখাবো।এই পদ্ধতি খুবই সহজ এবং ২ মিনিটে সম্ভব। ২টা পদ্ধতি দেখাবো।একটা কোড দিয়ে অন্যটি টুল দিয়ে।
★প্রথম পদ্ধতি :(বাইপাস কোড) Sqli সম্ভব ওয়েবসাইটে এটা কাজ করে।তবে সব sqli ওয়েবসাইটে হবে না।পদ্ধতি খুবই সহজ। গুগল ডর্ক ব্যবহার করতে পারেন রেনডম ওয়েবসাইট পেতে।এই ডর্কটি ব্যাবহার করুন:
inurl:admin.php
inurl:login.php
এই গুলো ব্যবহার করতে পারেন।
ওয়েবসাইট সিলেক্ট করুন এবং এডমিন প্যানেলের লিংকে প্রবেশ করুন। নরমালি একটা ইন্টারফেস দেখতে পাবেন যেখানে আপনাকে user and Password দিয়ে লগিন করতে হবে।নিচের মতো।
এখন user and Password এ আমরা কোড ব্যবহার করব।কোড: ‘OR’ ‘=’
এখন এই কোডটি user pass দুই বক্সেই টাইপ বা পেস্ট করব।নিচের মতো।
লগিন এ ক্লিক করলেই আমরা এডমিন প্যানেলে অ্যাক্সেস করতে পারবো।এই ওয়েবসাইটে অ্যাক্সেস করছি।
★পদ্ধতি ২: (Noredirect) অনেক সময় যে ওয়েবসাইটে কোড পদ্ধতি কাজ করে না কিন্তু সেইম ওয়েবসাইটে এই noredirect পদ্ধতি কাজ করতে পারে।এর জন্য আমাদের একটা টুল প্রয়োজন।পিসি এর জন্য ব্রাউজারে Noredirect add-on ইন্সটল করতে হবে।কিন্তু আজ আমি মোবাইলে এই পদ্ধতি করে দেখাবো।
আপনার দরকার হবে DH Hackbar এই অ্যাপটি। ইন্সটল করার পরে ওপেন করুন।
আপনি এই অ্যাপ দিয়ে ব্রাউজারের কাজ করতে পারবেন।অন্য ব্রাউজার ব্যবহারের প্রয়োজন নেই।এখানেই গুগল ভিজিট করে ডর্ক সার্চ করুন।
Dork: inurl:admin/login.php
…….. inurl:admin/index.php
এখন স্টেপ বাই স্টেপ শুরু করি।
১.প্রথমে ডর্ক সার্চ করুন।
2.এখন যেকোন একটি ওয়েবসাইট সেলেক্ট করুন।
৩.এখন আমাদের দেখতে হবে ওয়েবসাইটটি রিডাইরেক্ট করবে কি।স্কিনশর্ট গুলো ভালো ভাবে খেয়াল করুন।
৪.আমি অলরেডি একটা ওয়েবসাইট সিলেক্ট করে রাখছি।নিচে এই ওয়েবসাইটের এডমিন প্যানেলের মেইন পেজ।/Admin_Login.php
৫.এখন এডমিন প্যানেলের রিডাইরেক্ট পেজ /Admin.php
রিডাইরেক্ট কি এবং কিভাবে বুঝব:
এই সাইটে /Admin _Login.php এবং /Admin.php উভয়ই ভেলিড এডমিন ডাইরেক্টরি।সহজ ভাষায় এই দুই লিংকের যে কোন একটা ভিজিট করলে আপনি এডমিন প্যানেল পেজেই আসবেন।
ভালনারেবল কিভাবে বুঝবেনঃ যদি রিডাইরেক্ট পেজ বা url ভিজিট করি এবং url টি মেইন পেজ বা url এ ফিরে আসে তাহলে ভালনারেবল। উদাহরণ দিয়ে সহজে বুঝায়।
আমার ওয়েবসাইট site.com/Admin_Login.php এটি মেইন পেজ।
site.com/Admin.php এটি রিডাইরেক্ট পেজ।
এখন ভালনারিবিলিটির চেক করার জন্য আমি রিডাইরেক্ট পেজটা(site.com/Admin.php) ভিজিট করব।ভিজিট করলে সম্পুর্ন পেজটা রিলোড হলে দেখতে পারবেন ওয়েবসাইটের url site.com/Admin.php এর পরিবর্তে site.com/Admin_Login.php
এই লিংকে ফিরে আসছে।রিডাইরেক্ট পেজ ভিসিট করলে মেইন পেজ এ ফিরে আসবেন।এটাই রিডাইরেক্ট।
৬.এখন Noredirect অপশনটি অন করুন।অন হলে redirection:on দেখতে পাবেন।
৭.এখন আমরা রিডাইরেক্ট পেজ ভিজিট করব। site.com/Admin.php এই পেজটি।
execute এ ক্লিক করলে আপনি সরাসরি ওয়েবসাইটের এডমিন প্যানেলে অ্যাক্সেস পেয়ে যাবেন। যেমন আমি পেয়েছি।
এই পদ্ধতি খুবই জটিল মনে হতে পারে তাই ভিডিও দেখে ক্লিয়ার হতে পারবেন।
যারা sqli এর পর এডমিন প্যানেলে অ্যাক্সেস করতে পারেন না তারা এই দুইটি পদ্ধতি ব্যবহার করে দেখতে পারেন।ধন্যবাদ।
Youtube এ এই টিউটোরিয়াল আছে কাজ করে কি জানি না।তবে কিছু রাউটারের exploit আছে দেখতে পারেন।
এমনকি এডমিন ফাইন্ডার দিয়েও বের করা যায় না!
‘ or ”=’
aita hbe..