আসুন জেনে নেই- ৫
(Upload vulnerability)
আনরেস্ট্রিক্টেড ফাইল আপলোড ভার্নাবিলিটি নিয়ে আলোচনা!!
আপনাদের আজকের ক্লাস টা অনেকের কাছেই একটু কঠিন মনে হতে পারে। তাই চলুন আজকের ক্লাসের টপিকের কনসেপ্ট একটু বোঝার চেষ্টা করি।
মূল আলোচনা: আজকের ক্লাস টপিকের মূল বিষয়বস্তু ছিল ওয়েব শেল পরিচিতি এবং ডিফেস পেজ তৈরী। এখন ওয়েব শেল টা আবার কি? প্রত্যেকটা ওয়েবসাইটের একটি করে সি প্যানেল থাকে, যেখান থেকে ওয়েবসাইটের মালিকরা তাদের ওয়েবসাইটের ফাইল, ফোল্ডার, স্ট্রাকচার, কাঠামোগত দিক সবকিছু নিয়ন্ত্রণ করতে পারে বা তার ইচ্ছা অনুযায়ী মডিফিকেশন করতে পারে। এখন আমরা তো শুধুমাত্র এতদিন পর্যন্ত এডমিন ড্যাশবোর্ড এক্সেস করেছি। যার মাধ্যমে শুধুমাত্র ওয়েবসাইটের নির্দিষ্ট কিছু রোলপ্লে করতে পেরেছি, যা পূর্ব থেকে নির্ধারিত ছিল। এর বাহিরে কোন সুপ্রিম এডমিনের মত করে পুরো সার্ভারের/ওয়েব এপ্লিকেশন সিস্টেম এর সম্পূর্ণ এক্সেস করতে পারিনি। আর এখানেই ওয়েব শেল এর ম্যাজিক! এই পার্টে আমরা ওয়েব শেলের মাধ্যমে একটি ওয়েব এপ্লিকেশন সিস্টেমের পুরো সার্ভার নিয়ন্ত্রণ করতে পারবো।
এখন অনেকের প্রশ্ন থাকতে পারে; আমি কি চাইলেই একটি ওয়েবসাইটে শেল আপলোড করতে পারি? এর উত্তরটা নির্ভর করে ওয়েবসাইটে কি ধরনের দুর্বলতা রয়েছে এবং আমরা সেই দুর্বলতাকে কিভাবে কাজে লাগাতে পারি। আজকে আমরা ক্লাসে দেখলাম আন রেস্ট্রিক্টেড ফাইল আপলোড ভার্নাবিলিটির মাধ্যমে শেল আপলোড করা। এর অ্যাডভান্স মেথড সহ আরো বেশ কিছু প্রক্রিয়ার মাধ্যমে শেল আপলোড আমরা পর্যায়ক্রমে ক্লাসে শিখতে এবং জানতে পারবো।
করণীয়: এতদিন পর্যন্ত আপনার নিজের অ্যাক্সেস নেওয়া ওয়েবসাইট গুলোতে এই শেল টি আপলোড করার চেষ্টা করুন। এটি একটি সাধারণ আপলোডার শেল যার কাজ যে কোন ধরনের ফাইল আপলোড করা। যদি আপনার অ্যাক্সেস নেওয়া কোন একটি ওয়েবসাইটের আন রেস্ট্রিক্টেড ফাইল আপলোড ভার্নাবিলিটি থেকে থাকে তাহলে এই ওয়েবশেল খুব সহজেই আপলোড করে ফেলতে পারবেন। আর যদি আপনার এক্সেস নেওয়া ওয়েবসাইটে ফাইলটি আপলোড সাকসেসফুলি না হয় তাহলে সেটি সংরক্ষণে রাখুন। আমরা পরবর্তী ক্লাসে এডভান্স ওয়েবশেল আপলোড এবং বাইপাস টেকনিকগুলো দেখে নিব। আপাতত এতটুকু ট্রাই করুন এবং নিজের হেক্সর নামে খুব সুন্দর একটা ডিফেস পেজ তৈরি করুন। আর কোন কিছু বুঝতে অসুবিধা হলে আমাকে কমেন্টে জানান
ধন্যবাদ। 😀
ও হ্যাঁ আপলোডার শেল লিঙ্ক: https://limewire.com/d/fc234b1c-b11a-4af0-a7c6-65372671c9bc#htwyzvexkZS60O63WcvxsZYnSNstcQA8Pur_sA6MwJ8
No comments:
Post a Comment