আগের টিউটোরিয়ালে আমরা শুধু sqlmap Install -করা দেখেছিলাম।যারা আগের টিউটোরিয়ালটি দেখেননি তারা এখান থেকে দেখে নিতে পারেন।যাইহোক আজ আমরা SQL Injection শিখবো SQLMAP ব্যবহার করে।আপনারা এটি শিখে রাখুন নিজের জ্ঞান বাড়ানোর জন্য ,কারো ক্ষতি করার জন্য নয়।চলুন তাহলে শুরু করি।এখানে আমি কনো সাইট কে Inject করছি না।
SQLi সাইট বের করার পর এখন আমরা SQL Map এ কাজ শুরু করবো । প্রথমেই সাইটের ডাটাবেস বের করার জন্যে কমান্ড হবে ।
ছবিটির তীর নির্দেশিত স্থানটি লক্ষ করুন এখানে লেখা আছে টেস্টের মাধ্যমে বোঝা যাচ্ছে যে টার্গেটের সাইটের ডাটাবেস My Sql দিয়ে করা
আপনি কি চান অন্য ডাটাবেস গুলোর টেস্ট বাদ দিতে?
সময় বাচাতে চায়লে ইয়েস লিখুন মানে Y লিখুন অন্যথায় যদি ভালো মত টেস্ট করতে চান তাহলে N লেখুন!
আমি এখানে Y দিলাম।
এরপর দেখাচ্ছে আপনিকি MySQL Injection এর সকল মেথড টেস্ট করে দেখতে চান?
নিচের ছবিটি দেখুন।
আপনি যদি চান Y দিন অন্যথা N বা না । আমি Y দিলাম।
যায় হোক এরপর কাজ শুরু করে দিবে আপনার SQL MAP ।
আবার ঠীক এমনি আর একবার জানতে চাইবে
যদি সাইটটি ভুলনরাবল হয় তাহলে দেখাবে, যে সাইটটি ভুলনরাবল আপনি কি টেস্টটি চালু রাখতে চান?
এখানে আপনি Y দেবেন।
এখন আমি y দিলাম ।
এখন SQLMAP তার কাজ শুরু করে দিবে।
এবং কিছুক্ষন পর ডাটাবেস দেখাবে।
বেশির ভাগ সময় দুটি ডাটাবেস থাকে।
একটা ডাটাবেস হয় information_schema
অপরটি হয়ঃ canbeanyname_database (Canbeanyname ডাটাবেস বলতে বোঝানো হয়েছে আপনার যার সাইটে SQLi করতে চাচ্ছেন তার ডাটাবেসের নাম, এক এক সময় ডাটাবেসের নাম এক এক রকম হয়। যায় হোক ডাটাবেস বের করার পর এবার আমাদের কাজ হবে টেবিলস বের করা।
যার জন্য আমাদের কমান্ড দিতে হবেঃ
এখন টেবিলস গুলোতে admin_login এই টেবিল টাতেই এডমিন ইনফরমেশন থাকবে বা থাকার কথা ।
চলুন তাহলে আমরা এখন টেবিলস থেকে কলাম বের করি। তবে সবসময় যে এমন থাকবে তা নয়।
সেটা আপনারা নিজে একটু ভাবলেই বুঝতে পারবেন।
আমরা যে টেবিল থেকে কলাম বের করবো সেটা হচ্ছে admin_login এখন এই টেবিল থেকে কলাম বের করার জন্যে কমান্ড হবেঃ
এখন আমরা শেষ ধাপের দিকে এগুচ্ছি।এবার আমাদের কাজ হচ্ছে এই কলাম গুলো থেকে ডাটা ডাম্প করা ।
যার জন্যে কমান্ড হবেঃ
SQLi সাইট বের করার পর এখন আমরা SQL Map এ কাজ শুরু করবো । প্রথমেই সাইটের ডাটাবেস বের করার জন্যে কমান্ড হবে ।
sqlmap.py -u http://yoursite.com/index.php?id=10 --dbs
এখানে -u দিয়ে বোঝানো হয়েছে url কে এবং --dbs দিয়ে ডাটাবেস।(এটা আপনারা জানেন তবু বললাম)
নিচের চিত্রটি দেখুন।
আপনি কি চান অন্য ডাটাবেস গুলোর টেস্ট বাদ দিতে?
সময় বাচাতে চায়লে ইয়েস লিখুন মানে Y লিখুন অন্যথায় যদি ভালো মত টেস্ট করতে চান তাহলে N লেখুন!
আমি এখানে Y দিলাম।
এরপর দেখাচ্ছে আপনিকি MySQL Injection এর সকল মেথড টেস্ট করে দেখতে চান?
নিচের ছবিটি দেখুন।
যায় হোক এরপর কাজ শুরু করে দিবে আপনার SQL MAP ।
আবার ঠীক এমনি আর একবার জানতে চাইবে
যদি সাইটটি ভুলনরাবল হয় তাহলে দেখাবে, যে সাইটটি ভুলনরাবল আপনি কি টেস্টটি চালু রাখতে চান?
এখানে আপনি Y দেবেন।
এখন আমি y দিলাম ।
এখন SQLMAP তার কাজ শুরু করে দিবে।
এবং কিছুক্ষন পর ডাটাবেস দেখাবে।
বেশির ভাগ সময় দুটি ডাটাবেস থাকে।
একটা ডাটাবেস হয় information_schema
অপরটি হয়ঃ canbeanyname_database (Canbeanyname ডাটাবেস বলতে বোঝানো হয়েছে আপনার যার সাইটে SQLi করতে চাচ্ছেন তার ডাটাবেসের নাম, এক এক সময় ডাটাবেসের নাম এক এক রকম হয়। যায় হোক ডাটাবেস বের করার পর এবার আমাদের কাজ হবে টেবিলস বের করা।
যার জন্য আমাদের কমান্ড দিতে হবেঃ
sqlmap.py -u http://yoursite.com/index.php?id=10 -D database name --tables
এই কমান্ডেও -u দ্বারা বোঝানো হয়েছে url কে -D দ্বারা বোঝানো হয়েছে ডাটাবেস এবং তারপরে দেবেন ডাটাবেসের নাম যা কিছুক্ষন আগে বার করেছেন এবং --tables দ্বারা টেবিলস কে বোঝানো হয়েছে । এই কমান্ডটি কাজ হলো এই কমান্ডটি ডাটাবেস থেকে টেবিলস গুলো
ডাম্প করবে।
ডাম্প করবে।
টেবিলস বের করার পর মনে করেন আপনি এমন কিছু টেবিল পেলেনঃ
- admin_login
- gallery
- about-us
- contact
এখন টেবিলস গুলোতে admin_login এই টেবিল টাতেই এডমিন ইনফরমেশন থাকবে বা থাকার কথা ।
চলুন তাহলে আমরা এখন টেবিলস থেকে কলাম বের করি। তবে সবসময় যে এমন থাকবে তা নয়।
সেটা আপনারা নিজে একটু ভাবলেই বুঝতে পারবেন।
আমরা যে টেবিল থেকে কলাম বের করবো সেটা হচ্ছে admin_login এখন এই টেবিল থেকে কলাম বের করার জন্যে কমান্ড হবেঃ
sqlmap.py -u http://www.yoursite.com/index.php?id=10 -T admin_login --columns
এখানে আগের মতনই u দ্বারা url এবং -T দ্বারা বোঝানো হয়েছে Table এবং columns দ্বারা বোঝানো হয়েছে কলাম কে।
এই কমান্ডের মানে হচ্ছে admin_login টেবিলস থেকে কলাম গুলো ডাম্প করা।
যায় হোক এখন মনে করেন admin_login টেবিল থেকে এই কলাম গুলো পেলামঃ
এই কমান্ডের মানে হচ্ছে admin_login টেবিলস থেকে কলাম গুলো ডাম্প করা।
যায় হোক এখন মনে করেন admin_login টেবিল থেকে এই কলাম গুলো পেলামঃ
- id
- username
- password
এখন আমরা শেষ ধাপের দিকে এগুচ্ছি।এবার আমাদের কাজ হচ্ছে এই কলাম গুলো থেকে ডাটা ডাম্প করা ।
যার জন্যে কমান্ড হবেঃ
sqlmap.py -u http://www.yoursite.com/index.php?id=10 -T admin_login -U test --dump
এডমিন লগিন টেবিল থেকে ডাটা ডাম্প করা শেষ। তারপর কি হবে আপনাদের বোঝারই কথা।
কি খুব সহজ না????????????????একদমই সহজ।
সাথে থাকুন আপনাদের হ্যাকার বানিয়েই ছারবো।হাহাহা........................
ভালো থাকবেন সবাই ...।খোদা হাফেজ
Facebook hacking jana jete pare ?
উত্তরমুছুন