পার্ট ১=>

ওয়েব হ্যাকিং- পার্ট-১(শেল কি?)

বর্তমানে আমাদের সাইবার ওয়ার্ল্ড এর সর্বাধিক ব্যবহৃত সিএমএস হচ্ছে ওয়ার্ডপ্রেস। পিএইচপি তে বানানো এই সিএমএসটি তে যেমন রয়েছে বেশি সুযোগ সুবিধা, ঠিক তেমনি রয়েছে বাগ বা ভালনারিবিলিটি। তবে এর বেশিরভাগ দুর্বলতা পাওয়া যায় ওয়ার্ডপ্রেস সাইটটির ব্যবহৃত প্লাগিন গুলোতে। প্লাগিন এর কারনেই মূলত ওয়ার্ডপ্রেস এর এক্সপ্লইট গুলো তৈরি করা হয়। বেশির ভাগ ওয়ার্ডপ্রেস সাইট হ্যাক হয় সিম্লিঙ্ক করার মাধ্যমে। (সিম্লিঙ্ক সম্পর্কে পরে একটি পোস্ট লিখব)

আমি আমার গত পোস্ট এ শেল কি তা বলেছিলাম, এবার দেখাই কিভাবে ওয়ার্ডপ্রেস সাইট এ শেল আপলোড করে ডিফেস দেওয়া যায়, যদি আপনার কাছে উইসারনেম- পাসওয়ার্ড থাকে।

মনে করুন আপনি কোন ভাবে একটি সাইট এর উইসার নেইম , পাসওয়ার্ড পেয়েছেন, আপনি এখন অই সাইট টায় শেল আপলোড করতে চান।

এখন প্রশ্ন- কিভাবে করবেন?

আমরা জানি ওয়ার্ডপ্রেস সাইট এর অধিকাংশ অ্যাডমিন প্যানেল থাকে /wp-login.php -তে। এইবার আমরা মনে করি একটা সাইট এ লগিন করলাম-

wp-admin

 

লগিন করার পর আমাদের ড্যাসবোর্ড পেইজ টা দেখতে পারবো। এরপর আমরা বাম সাইড এর Appearance ট্যাব এ ঢুকবো, ট্যাব এর Editor অপশনটি তে যাব। –

Screenshot_4

 

এইখানে যাওয়ার পর আমরা দেখতে পাব- থিম এর নাম, আমরা প্রয়োজনে থিমটি চেঞ্জ করে নিতে পারি, যেই থিম এ আমরা শেল করতে চাই,

একটি ইডিটর, ডানে প্লাগিনটির পিএইচপি ফাইল গুলো-

 

 

Screenshot_5

 

কিন্তু প্রথমে যে ফাইলটি, ইডিটরে ওপেন করা আছে সেইটা হল- থিমটির সিএসএস (css) ফাইল।

কিন্তু আমরা যেহেতু শেল আপলোড করব, সেইক্ষেত্রে একটা পিএইচপি ফাইল সিলেক্ট করে ইডিট করব, মানে আরকি আমাদের শেল কোডটা রিপ্লেস করবো। – Untitledএইখানে footer.php ফাইলটা আমরা সিলেক্ট করলাম, আর আমরা ইউআরএল টা চেক করি- এইখানে ফাইল নেইম এবং থিম নেইম টা উল্লেখ করা আছে। আমরা ফাইল নেইম আর থিম নেইম একটা নোটপ্যাড এ সেভ করে রাখি, পরবর্তীতে আমাদের শেল এর লোকেশন বের করতে কাজে আসবে।

এইবার যেই এডিটর টা রয়েছে অইটার পিএইচপি কোডটা আমরা ইডিট করি, আমরা আপাতত একটা Madspot shell  ব্যবহার করি, কোড টা আমরা রিপ্লেস করে আপডেট ফাইল এ ক্লিক করলাম।

আমাদের শেল আপলোড এর প্রক্রিয়া শেষ। এইবার আমরা দেখি- আমাদের আপলোড করা শেল কথায় আছে, মানে শেল এর লিঙ্কটা খুঁজে বের করি।

শেল এর লিঙ্ক হবে এইরকম একটা লোকেশন এ- /wp-content/themes/[theme name]/[file name]

আমরা যখন পিএইচপি ইডিট করেছিলাম তখন আমাদের ফাইল নেইম ছিল footer.php এবং থিম নেইম ছিল- FootballSite

সুতরাং আমাদের শেল এর লিঙ্ক টা হবে- /wp-content/themes/FootballSite/footer.php

Untitled

 

এইবার আপনি /public_html/ এ গিয়ে যা খুশি ইডিট, ডিলেট, অ্যাড, আপলোড করতে পারেন 🙂

 

আমি আজকে শুধুমাত্র ওয়ার্ডপ্রেস এ শেল আপলোড এর ধারণা দিলাম, কিভাবে ওয়ার্ডপ্রেস সাইট এর পাসওয়ার্ড পাবেন অইটা পরে অন্য পোস্ট এ লিখব।

পুনশ্চঃ কেও ট্রিকবিডি এর সাইট এ আবাএ শেল আপলোড করতে যাইয়েন না 😛 কারণ কোন সাইট এ শেল করতে গেলে অই সাইট এর অ্যাডমিন অ্যাক্সেস লাগে, কিন্তু ট্রিকবিডি তে আপনার যা আছে, তা হল উইসার লগিন। তবুও যদি কেও শেল আপলোড করতে পারেন তবে অ্যাডমিন রানা ভাই এর সাথে যোগাযোগ করুন। আশাকরি যজ্ঞ পুরষ্কার দিবেন 😀 

 

7 thoughts on "ওয়েব হ্যাকিং- পার্ট-২(ওয়ার্ডপ্রেস সাইট এ শেল আপলোড)"

  1. Smart Boy Tuhin Author says:
    😀 you are great broo….
  2. Smart Boy Tuhin Author says:
    waiting for next part 😉
  3. Great Broooo.. :’)

    We r waiting for Next Part.. 😀

  4. biplob roy biplobroy Author says:
    শেল সম্পর্কে আরো বিস্তারিত কোথায় জানতে পারবো?
    1. faisal2542 faisal2542 Author Post Creator says:
      প্রথম পোস্ট এ দেখুন- https://trickbd.com/hacking-tutorials/7104
      তাও না বুঝলে পিএম দিন 🙂 @বিপ্লব
  5. Brooo, Facebook ID Ta Den.. 😀
  6. AR ALAM AR ALAM Contributor says:
    apnr fb ud ta den ok..

Leave a Reply