আসসালামু আলাইকুম,
গত পর্বে sql injection এর পদ্ধতি দেখিয়েছিলাম কিভাবে একটা ওয়েবসাইটের ইউজারনেম,পাসওয়ার্ড হ্যাক করবেন। গত পর্বের টিউটোরিয়ালে আপনাদের অনেক সাপোর্ট পেয়েছি এজন্য অসংখ্য ধন্যবাদ এবং Trickbd কে আন্তরিক ধন্যবাদ জানাচ্ছি।
গত পর্বে অনেকের টিউটোরিয়ালটি বুঝতে সমস্যা হয়েছিল শুধুমাত্র রাইট আপের কারণে। এই পর্বে আমি একটা ভিডিও টিউটোরিয়াল দেবো,আশা করি আপনাদের বুঝতে সুবিধা হবে। ভিডিও টিউটোরিয়ালটি পোস্টের নিচে দেওয়া থাকবে।তার আগে কিছু বিষয় নিয়ে আবার একটু কথা বলি।
কুয়েরি (Query) এই বিষয়টি অনেকেই বুঝতে পারেন নাই।কিছু উদাহরণ দ্বারা ব্যাখ্যা করি।
http://www.iagcc.com – এটি একটা ওয়েবসাইট। এই লিংকে প্রবেশ করলে আপনি ওয়েবসাইটের হোমপেজে যাবেন।
http://www.iagcc.com/news.php?id=58
এই লিংকে মেইন হোমপেইজ এর লিংকের সাথে /news.php?id=58 যুক্ত হয়েছে। এই অংশকে প্যারামিটার বলা হয়।
http://www.iagcc.com/news.php?id=58
এই লিংকে প্রবেশ করলে আপনি ওয়েবসাইটের নিদিষ্ট একটা পেইজে প্রবেশ করবেন।
এখন প্যারামিটার সহ মেইন ওয়েবসাইটের লিংকের সাথে sql injection কমান্ড যুক্ত করবো।
http://www.iagcc.com/news.php?id=58+union+select+1,2,3,4,5,6–+
এখানে +union+select+1,2,3,4,5,6–+ এটি হলো sql injection কমান্ড।
http://www.iagcc.com/news.php?id=58+union+select+1,2,3,4,5,6–+ এই লিংকে প্রবেশ করলে আমরা sql injection কমান্ড এক্সিকিউট করতে পারব । এই লিংকটি একটি ওয়েবসাইটের এড্রেস বা ইউ আর এল।যেহেতু এখানে প্যারামিটারের পরে sql injection কমান্ড যুক্ত করা হয়েছে তাই এটাকে কুয়েরি বলছি।যা url তাই কুয়েরি।শুধুমাত্র নামের ভিন্নতা।
কুয়েরি রান বা এক্সিকিউট করা বলতে যেমন http://www.iagcc.com/news.php?id=58+union+select+1,2,3,4,5,6–+ এই লিংকটি বা কুয়েরিটি আপনার ওয়েব ব্রাউজারে ব্রাউজ করা।
কুয়েরি নিয়ে এতোটা আলোচনা করার কিছু না থাকলেও আমাদের কুয়েরি নিয়েই কাজ।কারন কুয়েরিতে সামান্য ভুল হলে আপনি এরর পাবেন।তাছাড়া প্যারামিটার অনেক সময় ভিন্ন ধরনের থাকতে পারে।তাই সম্পুর্ন ব্যাসিক থেকে ধারণা দিলাম।
★★ Automation Tools vs Manual process.
আমি ব্যাসিক sql injection এর Union based মেথডের ম্যানুয়াল টিউটোরিয়াল লিখছি।আপনি চাইলে এই কাজটি কোন টুল বা অ্যাপ বা সফটওয়্যার বা script দিয়ে করতে পারেন।এইক্ষেত্রে আপনাকে শুধুমাত্র ওয়েবসাইট লিংকটি এন্টার করা লাগবে।
কিন্তু এই টুলস ব্যবহারকারীদের কোন দাম নেই।টুলস ব্যবহার করে কিছু শেখা সম্ভব নয়।আপনি যদি কোন হ্যাকিং টিমে জয়েন করতে চান তাহলে স্কিল হিসাবে আপনাকে সব কিছুই manually করা লাগবে।তাছাড়া টুলসগুলোর লিমিটেশন রয়েছে।শুধুমাত্র ইজি সাইটগুলোতে হ্যাকিং এ সফল হয়।টুলস নিয়ে একটি বিস্তারিত পোস্ট করা হবে ইনশাআল্লাহ।
★★নিচের প্রয়োজনীয় স্টেপগুলো মনে রাখুন।
১.প্রথমে Vulnerability চেক।
২.তারপর সাইটের সর্বোচ্চ কলাম সংখ্যা খুজে বের করা।
৩.তারপর vulnerable কলামটি খুঁজে বের করা।
৪.vulnerable কলামে ইঞ্জেক্ট করে টেবিল খুঁজে বের করা।
৫.কলাম খুঁজে বের করা।
৬.কলাম থেকে ডাটা পাওয়া।
এই স্টেপগুলোর একটি ও বাদ দেয়া যাবে না।
নেক্সট টিউটোরিয়াল হবে শেল,ডিফেস,মিরর এর উপর।।
আল্লাহ হাফেজ।।।
N.B sceeen landscape e rotate kore niben.