প্রিয় ট্রিকবিডির ব্যবহারকারী এবং ভিজিটর,
আশা করছি বর্তমান পরিস্থিতির সাথে নিজেকে মানিয়ে নিয়ে মায়াবী পৃথিবীর অপরূপ সুন্দরতা উপভোগ করছেন।
আজকের টিউটোরিয়ালে আমি আপনাদের সাথে যেটা শেয়ার করবো সেই বিষয়টা হলো
“ম্যানুয়াল ভাবে এসকিউএল ইনজেকশন করে কীভাবে একটা ওয়েবসাইটকে হ্যাক করবেন এবং এমডি ফাইভ রূপে থাকা পাসওয়ার্ড কীভাবে ক্র্যাক করবেন এই বিষয়ে আজকের টিউটোরিয়াল আমার”
এসকিউএল ইনজেকশন হলো একটা মেথড যেটা দিয়ে টার্গেট ওয়েবসাইটকে হ্যাক করা সম্ভব। একজন হ্যাকার টার্গেট ওয়েবসাইটের ইনপুট অপশন গুলোতে কিছু ম্যালিসিয়াস কোডকে ইনজেক্ট করে ওই ওয়েবসাইটের ডাটাবেজকে হ্যাক করে ওয়েবসাইট কন্ট্রোলে করে নেয়; আর এই এসকিউএল ইনজেকশন হলো বহু আগের একটা হ্যাকিং মেথড এবং ইহা খুবই জনপ্রিয় একটা আক্রমণ। বহু হ্যাকিং টিম এই এসকিউএল ইনজেকশনের জন্য বিভিন্ন রকম টুলস ইতিমধ্যে পাবলিশ করেছে যা দ্বারা অনেক নতুন নতুন হ্যাকার ওয়েবসাইট হ্যাক করে থাকে।
এই সকল হ্যাকারকে হ্যাকার বলা যায় না, কারণ টুলস দ্বারা কোনো ওয়েবসাইট হ্যাক করা কোনো দক্ষ হ্যাকারের কাজ না। যারা এর থেকে ওর থেকে টুলস চেয়ে নিয়ে ওয়েবসাইট হ্যাকিং করতে লেগে যায় আসলে এদের কোনো লেভেলই নাই এবং এদের যেহেতু দক্ষতা নাই সেহেতু এদের এই হ্যাকিং দ্বারা কোনো ভবিষ্যৎ নাই। যদি কোনো রকম কোনো কারণে টুলস গুলো বন্ধ হয়ে যায় তাহলে তাদের হ্যাকিং করাও শেষ।
অতএব টুলসের উপর ভরসা না করে ম্যানুয়াল কিছু করতে শিখতে হবে তাহলেই ওটাতে ভবিষ্যৎ খুঁজে পাওয়া সম্ভব।
হ্যাকিং করে কীভাবে নিজের ক্যারিয়ার গড়বেন বিস্তারিত দেখুন টিউটোরিয়ালে আমি খুবই স্বচ্ছ ভাবে বুঝিয়ে বলেছি যে রোবটের উপর ভরসা করা বাদ দিয়ে নিজেকে দক্ষতা অর্জন করতে হবে নইলে কিছুই সম্ভব না। আপনাকে যদি কোনো কোম্পানি বলে যে “এই যে হ্যাকার সাহেব, আমাদের সার্ভারে ঠিক কী কী দূর্বলতা আছে খুঁজে বার করুন এবং হ্যাক করুন তারপর রিপোর্ট জমা দিন আমাদের কাছে” তখন আপনি যদি আপনার পরে পাওয়া টুলস গুলো দিয়ে দূর্বলতা খুঁজতে থাকেন তাহলে কখনোই ওটা কোম্পানি গ্রহণযোগ্যতা দিবে না, সো যা করার নিজেকে করতে হবে নিজেকে দক্ষ বানাতে হবে। একজন হ্যাকার বহু কিছুর উপর নিজেকে দক্ষ করে নয়তো সে হ্যাকার হতে পারে না কখনোই।
এখন আমি একটা ওয়েবসাইট হ্যাক করবো এসকিউএল ইনজেকশন দ্বারা এবং যে ওয়েবসাইটটি আমি হ্যাক করবো এই ওয়েবসাইটটি আমারই সার্ভারে ইন্সটল করা।
তাহলে চলুন শুরু করি; সর্বপ্রথম আপনাকে একটা ওয়েব ব্রাউজার সিলেক্ট করে নিতে হবে তাহলে সিলেক্ট করে নিন।
এখন এই ওয়েবসাইটের একটা ইনপুট নেয় এমন জায়গাতে আমি 1 ইনপুট দিচ্ছি।
এখন দেখুন আমার সাধারণ 1 ইনপুট দেওয়ার কারণেই ওয়েবসাইটটি আমাকে First name এবং Surname বলে দিচ্ছে।
এখন আমি দেখবো এই ওয়েবসাইটে এসকিউএল দূর্বলতা আছে কী সেই জন্য আমি ইনপুট দিচ্ছি 1′
নিচের স্ক্রিনশট দেখুন, এখন আমাকে একটা ইরর দেখাচ্ছে। যদি এইরকম ইরর দেখায় তাহলে বুঝতে হবে ওই ওয়েবসাইটে এসকিউএল দূর্বলতা আছে, আবার অনেক সময় কিন্তু ইরর দেখায় না যায় হোক আপনারা ইরর যদি দেখতে পান তাহলে আপনাদের হ্যাকিং কার্যক্রম ওই ওয়েবসাইটে সক্রিয় করতে থাকবেন।
এখন দেখুন আমার ম্যালিসিয়াস ইনপুটির কারণে এই ওয়েবসাইটে থাকা সকল ইউজার গুলো আমাকে দেখিয়ে দিচ্ছে একটা ইউজার দেখানোর বদলে, কারণ আপনারা যদি or অপারেটরের বিষয় জেনে থাকেন তাহলে অবশ্যই জানেন যে or এর কাছে দুইটা অপশন থাকে যদি প্রথমটা সত্যি না হয় তাহলে দ্বিতীয়টা যদি সত্যি হয় তখন সে ট্রু রিটার্ন করে অর্থাৎ যেকোনো একটা যদি সত্যি হয় তখন সে ট্রু রিটার্ন করবে এবং ওয়ান ইকুয়েল টু ওয়ান সকল সময় সত্যিই হয় অতএব সে প্রতিটা জায়গাতেই সত্যি পেয়েছে তাই আমাকে পুরো রেকর্ডসই দিয়ে দিচ্ছে।
এখন আমরা দেখবো যে কয়টা কলামস আছে এক হইতে এক হাজারটাও কলামস থাকতে পারে ওয়েবসাইটে আপনাকে অবশ্যই ধৈয্য ধারণ করে মনোযোগ দিয়ে হ্যাকিং করতে হবে, আমি টেস্ট করে দেখছি যে এই ওয়েবসাইটে পাঁচটা কলামস আছে কী এই জন্য আমি ইনপুট দিচ্ছি 1′ order by 1,2,3,4,5#
দেখুন আমাকে ইরর দিচ্ছে কারণ পাঁচটা কলামস নাই বলছে এই ওয়েবসাইটে তবে এই ওয়েবসাইটে দুইটা কলামস আছে।
এখন আমরা শিওর হয়ে নিবো যে দুইটা কলামস আছে কী এবং সেই জন্য ইনপুট দিবো 1′ order by 1,2#
এখন দেখুন আমার কাছে কোনো ইরর আসে নাই অর্থাৎ দুইটা কলামস আছে এই ওয়েবসাইটে।
এখন আমরা দেখবো ডাটাবেজে কয়টা টেবিল আছে এবং সেই জন্য আমি 1′ union select table_name ,2 from information_schema.tables# ইনপুট দিচ্ছি।
এখন দেখুন ডাটাবেজে থাকা সকল টেবিল আমাদের কাছে ডিসপ্লে করছে। এইখানে খুঁজতে হবে আপনাকে কোন টেবিলে কী কী আছে তো আমি এইখানে একটা টেবিল পেয়েছি users নামের।
এখন আমি দেখবো users টেবিলের ভেতর কী কী কলামস আছে এই জন্য আমি ইনপুট দিচ্ছি 1′ union select column_name,2 from information_schema.columns where table_name=’users’#’
এখন দেখুন আমার কাছে অনেক গুলো কলামস ডিসপ্লে করছে user_id, password, last_login ইত্যাদি।
এখন আমার সন্দেহ লাগছে যে user_id এবং password কলামসে আমি ইউজার নাম এবং পাসওয়ার্ড পেয়ে যাবো, অবশ্য সকল কলামস দেখতে হয়। যায় হোক আমি আমার সন্দেহ যাচাই করতে ইনপুট দিচ্ছি 1 ‘ union select user_id,password from users#
এখন স্ক্রিনশট দেখুন আমার সন্দেহ একদম সঠিক হয়েছে আমি এই ওয়েবসাইটে থাকা সকল ইউজার এবং ইউজারের পাসওয়ার্ড পেয়ে গিয়েছি, তবে পাসওয়ার্ডটি সিকিউরিটির কারণে এমডি ফাইভ রূপে আছে কারণ ডেভেলপার ইউজারের নিরাপত্তা উচ্চ করতে ডাটাবেজে এমডি ফাইভ রূপে পাসওয়ার্ড স্টোর করে। তবে এই এমডি ফাইভ রূপে থাকা পাসওয়ার্ডটি দ্বারা আমরা লগইন করতে গেলে অবশ্যই লগইন হতে পারবো না এই জন্য আমাদেরকে এই এমডি ফাইভ রুপে থাকা পাসওয়ার্ডটি ক্র্যাক করতে হবে।
এমডি ফাইভ রূপে থাকা পাসওয়ার্ডটি ক্র্যাক করতে অনেক বড় বড় টুলস আছে, এবং ম্যানুয়ালিও এটাকে ক্র্যাক করা সম্ভব। তবে এখন আমি আপনাদের দেখাবো কীভাবে ওয়েবসাইট দ্বারা এমডি ফাইভ রূপে থাকা পাসওয়ার্ড কীভাবে ক্র্যাক করবেন; স্ক্রিনশটে থাকা সর্বপ্রথম ওয়েবসাইটে প্রবেশ করবেন।
আপনি যদি ওয়েবসাইটটি খুঁজে না পান তাহলে CrackStation এ ক্লিক করলে নিচের স্ক্রিনশটের মতো ওয়েবসাইটটি পেয়ে যাবেন।
এখন আপনি নিচের স্ক্রিনশটের মতো গুগল রি- ক্যাপচা চ্যালেঞ্জ দ্বারা মানুষ হিসাবে নিজেকে ভেরিফাই করে এমডি ফাইভ রূপে থাকা পাসওয়ার্ডটি পেস্ট করে দিন এবং Crack Hashes বাটনে একটা ক্লিক দিন।
এখন নিচের স্ক্রিনশট দেখুন পাসওয়ার্ডটি সফল ভাবে ক্র্যাক হয়ে গিয়েছে, আসলে এমডি ফাইভ রূপে পাসওয়ার্ড যেটা ছিলো ওটাতে পাসওয়ার্ড লেখাই ছিলো।
আশা করি আমি আপনাদের সুন্দর এবং সহজ ভাবে বুঝাতে সক্ষম হয়েছি।
ভালো থাকুন সুস্থ থাকুন প্রিয় মানুষকে ভালো রাখুন সবসময় পজিটিভ থাকুন সকল সময় মোটিভেট থাকুন; ধন্যবাদ।