হ্যালো রিডার'স, কেমন আছেন সবাই? আজ আমি আপনাদের সাথে আলোচনা করবো একটা অতি সহজ ডিফেসিং মেথড নিয়ে। আপনি একজন অনিয়মিত হ্যাকার হলেও আপলোড দিতে পারবেন আপনার ডিফেস পেজ। আমি যে এক্সপ্লোইট নিয়ে আলোচনা করবো সেটা হল, <strong>"file viewer" remote File upload vulnerability</strong> আসুন জেনে নেই কি সেই মেথড। :D প্রথমে আপনাকে গুগল ডট কম (google.com) এ যেতে হবে। সেখানে সার্চ বক্স দেখতে পাবেন সেখানে নিচের গুগল ডরক দিয়ে সার্চ করতে হবে। Dork : intext:"file viewer for uploader" অথবা intext:"File viewer for Uploader (c) 2003 by Dirk Paehl" অনেকেই ডরক কি চেনেন না। তাদের জন্যে বলছি, উপরের যে কোন একটা কপি করে সার্চ বক্সে পেস্ট করে Enter বাটন হিট করুন। :D এবার রেজাল্ট থেকে আপনার সাইট বেছে নিন। vulnerable ওয়েবসাইটের টাইটের এইরকম হতে পারে। <strong>"File viewer for Uploader"</strong><em> সাইটে কিল্ক করে প্রবেশ করার পরে নিচের মত পাবেন। http://www.site.com/view.php অথবা http://www.site.com/directory/view.php বার শুধুমাত্র view.php কে upload.php এর সাথে চেঞ্জ করে নিন। সবকিছু ঠিক মত থাকলে একটা আপ্লোডার পাবেন। সেই আপ্লোডার দিয়ে আপনার .html .txt and .jpg এক্সটেনশনের ফাইল আপলোড দিতে পারবেন। এছাড়া আপনি আপনার শেলও আপলোড দেবার চেস্টা করে দেখতে পারেন। এজন্যে এভাবে ট্রাই করুন, .php.jpg অথবা, Tamper data or Live Http headers মেথডে আপলোড মারতে পারেন। (যারা এই Tamper data or Live Http headers মেথড জানেননা, তাদের জন্যে আমি খুব তারাতারি উক্ত মেথড পুরা বাংলায় প্রকাশ করবো। **নোটঃ কিছু কিছু সাইটে এডমিন আইডি এবং পাসওয়ার্ড চাইতে পারে, সেক্ষেত্রে Name = Admin Password= admin দিয়ে দেখতে পারেন। :) কস্ট করে আমার এই অখাদ্য লেখা গেলার জন্যে আপনাকে অনেক ধন্যবাদ। কমেন্ট করে যে কোন সমস্যা বা পরামর্শ জানাতে পারেন আমাকে। আপনাদের কমেন্ট আমাকে আরো ভালো কিছু শেয়ার করার অনুপ্রেরণা দিবে :) Demo: http://www.ldcc.net.au/upload.php পোস্টটি সর্বপ্রথম এখানে প্রকাশিত।
আমি Snip3r। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 12 বছর 7 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 9 টি টিউন ও 59 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 0 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
I am nobody... so, nothing to say... :D
@photo-funia
: 😀 আপনি হয়তো নিউজ টিউজ পড়ে থাকেন। “৩০০০ সাইট ডিফেস বাই বাংলাদেশ সাইবার আর্মি” এই টাইপের খবর ও পড়েছেন অবশ্যই? তাহলে, ওনাদের ডিফেস করা প্রত্যেকটি সাইটে যেয়ে ঘুরে আসবেন। দেখবেন যে, হোমপেজ মাসাল্লাহ ঠিকই আছ:P
এবার, আপনার কথা অনুযায়ী, নিউজ পাবলিশ এর হেডিঙে বিশাল ভুল আছে! শুধু তাই নয়, হোমপেজ ডিফেস না করে অন্যপেজ বা জাস্ট ডিফেস পেজ আপলোড দিয়ে তেনারাও (বিসিএ) বলেন যে, সাইট ডিফেস!! 🙂
আর হ্যা, আপনার কমেন্ট পড়ে মনে হল, আপনি ডিফেস ভালাই বুঝেন (!) তাইলে একখানা শেল আপ দিয়া আমনের কাঙ্খিত হোম পেজই খাইয়া দেন। 😛
@Snip3r:
সাইবার আর্মির রুলসে আমার জানামতে একটা কথা আছে যে যুদ্ধ ছাড়া হোমপেজ ডিফেস দেয়া যাবে না। তাই রেগুলার ডিফেস দেয়ার সময় তারা হোম পেজ ডিফেস দেয় না ঠিকই তবে মেইন public_html ফোল্ডারে তাদের ডিফেজ পেজটা দিয়ে দেয়। অর্থাৎ, তারা চাইলেই মেইন ইনডেক্স ফাইল ডিফেস দিতে পারতো, কিন্তু দিলো না।
কিন্তু আপনি যে পদ্ধতি দিলেন সম্ভবত সেটাকে ডিএনএন মেথোড বলে। আর এটা কোনো প্রকারের হ্যাকিং না। তইলে আমি ইমেজ আপলোড করার সাইট-এ আমার ইমেজ আপলোড করে বলবো যে ডিফেস দিলাম । লোল 😛 ।
এটা হলো কোনো সাইট এর একটা আপলোড অপশন। আর এর মাধ্যমে আপনি জিবনেও আর শেল উঠাতে পারবেন না। কারন শেল উঠানোর ভুলনার ভার্সনটা বহু আগেই ঠিক করা হয়েছে। পারলে খালি জাস্ট এইচটিআমএল বা ইমেজ ফাইল উঠানো যাবে। যা মূলত কোনো ডিফেস বা হয়াকিং পর্যায়ে পড়ে না।
আমরা আপনাদের কাছে আরোও গুরুত্বপূর্ন কিছু আশা করি।
@photo-funia: লজ্জা খেলাম 😛
ট্রাই করে যান। “কিছু” একটা করে ফেলতে পারবেন। 😀
বিসিএ গো রুলস, টুলস মোটামুটি সবই জানা আছে।
HTML পেজ আপ দিলে সেটা হ্যাকিং বা ডিফেস এর পর্যায়ে পরেনা জেনে ভালো লাগলো…। 😀
“ডিএনএন মেথোড” (!) লুল…
আরো কত কিছু শেখার যে বাকি আছে রে পাগলা!!!
সবশেষে একটা কথা বলি, আপনার আইডিয়া বা কমেন্ট, সঠিকের থেকে মিনিমাম ১০০ হাত দূর দিয়ে গেছে।
😛
@Snip3r:
তাহলে আপনি এই পদ্ধতিকে হ্যাকিং বলছেন ? ভালো পেলাম। 😛 .
আচ্ছা ধরেন, আমি আমার কিছু ম্যাসেজ সাইট এডমিনরে দিবার চাই তখন কি করবো ? আপনার ঊল্লেখিত পথে ত এডমিন জিবনেও ম্যাসেজ পাবে না।
জী ভাই, আমি জাস্ট একটা HTML ফাইলকেই ডিফেসিং বলি… এবং করেছি…
http://zone-h.com/archive/notifier=CCB
তারপর, বাকি সব HTML আপলোড দেওয়া সাইট পাবেন
http://zone-h.com/archive/notifier=Bangladesh%20Cyber%20Army
এখন সব ছেড়ে ছুড়ে বসে আছি… এবং…
আপ্নাগো লাহান এলিট লেভেল মানুষের কাছ থেকে শেখার চেস্টা করতাছি… 😛
এডমিনরে ম্যাসেজ দিবার চান, তাহলে এডমিনের ফোন নাম্বার জোগার করে আপনার ম্যাসেজ অপশনে যাইয়া পাঠাতে পারেন 😀
শিখতে থাকুন…
@Snip3r: vai apni jei demo disen tato kono hack ar kisu na . oi demo tate bolai ase apni amontrito amar site a kichu upload koren . mane system ta oi admin e korse . google search dile amn onk site paoya jabe jegula file upload deyar shubidha dey . tai bole take hack bolte partesi na. bcz ai system a hack ar akta jinish shikhlam just file upload kora . r baki jinish gula pore thaklo.dhonno bad .
@Snip3r:
আরে ভাই, যে লিঙ্ক দিলেন আমি ত দেখতাছি ওখানে সবই public_html -এ আপ করা। এইটার মানে হলো যে আপনি মেইন সাইটও ইচ্ছা করলে দিতে পারেন।আপনি তো আমার কথাই এতখন বুঝতাছেন না।
আপনিই বলেন, পোস্টে যে মেথড দিলেন এই মেথডেই কি ৯৫ সাইট ডিফেস দিছেন ?
১২ টা সিঙ্গেল আইপি-এর ৮৫ মেস ডিফেসমেনট কি এই মেথডে দিছেন ?
তইলে এই উদাহরন কেনো টানলেন ? কেউ যদি বলে যে ভাই, আপনি উপরের মেথডে public_html -আমার ফাইল টা রাখেন , পারবেন ? কখনোই না। তবে অযথা আমাকে বলছেন কেনো ?
আমরা তো আপনাদের কাছে শিখতেই চাই। কিন্তু আপনারা ৪০ তলায় থেকে আমাদের কে বলছেন কুড়ে ঘরে থাকতে, হইলো ?
হ্যাকিং শিখাচ্ছেন অবশ্যই ভালো কাজ করছেন। কিন্তু এই মেথড গুলো দিচ্ছেন যে গুলো আরোও অনেক আগে টিটি-তেই দিয়েছে। শুধু এই না টিটিতে এস্কিউএল এটাকেরও টিউটো আছে। আমরা যারা হ্যাকিং শিখতে চাই, এবং ঘাটাঘাটি করি তারা ত এটলিস্ট এত দিনে হালকা হলেও এক্সপেরিয়েন্স হয়েছে যে আসলে এই মেথড গুলোতে কতখালি কাজ হবে।
তাই বিশেষ অনুরোধ থাকলো, দয়া করে আপনি যে সব মেথড ব্যাবহার করেন, সেসব মেথড গুলোই আমাদের শিখান। আমরা শিখতে চাই।
eta ki kore site deface dewa holo ? site-er home page to tik-i thakbe .