হ্যালো রিডার'স, কেমন আছেন সবাই?
আজ আমি আপনাদের সাথে আলোচনা করবো একটা অতি সহজ ডিফেসিং মেথড নিয়ে।
আপনি একজন অনিয়মিত হ্যাকার হলেও আপলোড দিতে পারবেন আপনার ডিফেস পেজ।
আমি যে এক্সপ্লোইট নিয়ে আলোচনা করবো সেটা হল, <strong>"file viewer" remote File upload vulnerability</strong>

আসুন জেনে নেই কি সেই মেথড। :D

প্রথমে আপনাকে গুগল ডট কম (google.com) এ যেতে হবে। সেখানে সার্চ বক্স দেখতে পাবেন সেখানে নিচের গুগল ডরক দিয়ে সার্চ করতে হবে।
Dork : intext:"file viewer for uploader"
অথবা intext:"File viewer for Uploader (c) 2003 by Dirk Paehl"

অনেকেই ডরক কি চেনেন না। তাদের জন্যে বলছি, উপরের যে কোন একটা কপি করে সার্চ বক্সে পেস্ট করে Enter বাটন হিট করুন। :D

এবার রেজাল্ট থেকে আপনার সাইট বেছে নিন।
vulnerable ওয়েবসাইটের টাইটের এইরকম হতে পারে। <strong>"File viewer for Uploader"</strong><em>

সাইটে কিল্ক করে প্রবেশ করার পরে নিচের মত পাবেন।

http://www.site.com/view.php
অথবা http://www.site.com/directory/view.php

বার শুধুমাত্র view.php কে upload.php এর সাথে চেঞ্জ করে নিন। সবকিছু ঠিক মত থাকলে একটা আপ্লোডার পাবেন। সেই আপ্লোডার দিয়ে আপনার .html .txt and .jpg এক্সটেনশনের ফাইল আপলোড দিতে পারবেন।
এছাড়া আপনি আপনার শেলও আপলোড দেবার চেস্টা করে দেখতে পারেন। এজন্যে এভাবে ট্রাই করুন, .php.jpg অথবা, Tamper data or Live Http headers মেথডে আপলোড মারতে পারেন। (যারা এই Tamper data or Live Http headers মেথড জানেননা, তাদের জন্যে আমি খুব তারাতারি উক্ত মেথড পুরা বাংলায় প্রকাশ করবো।

**নোটঃ কিছু কিছু সাইটে এডমিন আইডি এবং পাসওয়ার্ড চাইতে পারে, সেক্ষেত্রে
Name = Admin
Password= admin

দিয়ে দেখতে পারেন। :)
কস্ট করে আমার এই অখাদ্য লেখা গেলার জন্যে আপনাকে অনেক ধন্যবাদ। কমেন্ট করে যে কোন সমস্যা বা পরামর্শ জানাতে পারেন আমাকে। আপনাদের কমেন্ট আমাকে আরো ভালো কিছু শেয়ার করার অনুপ্রেরণা দিবে :)

Demo: http://www.ldcc.net.au/upload.php

 

পোস্টটি সর্বপ্রথম এখানে প্রকাশিত।