ကဗ်ာ/ရသ/နည္းပညာ

Hacking Joomla site

Aug 7, 2012
အခုနည္းက Joomla Site ကုိေဖာက္မယ့္နည္းပါ ။  joolma 1.5, 1.6, 2.5 သံုးတဲ့ဆိုက္ေတြ
ကုိ ဒီနည္းနဲ႕ဟက္လို႕ရပါတယ္ ။
ဒီနည္းနဲ႕ ျမန္မာဆိုက္ေတြကုိျပန္မဟက္ဖူးဆိုတဲ့ကတိတစ္ခု ေတာ့ေပးပါ ။
လိုအပ္တာကေတာ့ C99 Shell ရယ္ ။ firebug addin ရယ္ လိုပါတယ္ ။
 ၿပီးေတာ့ Antivirus ကုိလည္းပိတ္ထားလိုက္ပါဦး။Hacking Software ေတြ ကုိ Antivirus ေတြကဖ်က္ပစ္တာေၾကာင့္ပါ။
firebug က firefox Browser မွာသံုးတဲ့ Addin ျဖစ္ၿပီး ေနာက္ကြယ္က Code ကိုလွမ္းၾကည့္လို႕ရေစပါတယ္။
ႏွစ္ခုစလံဳး Google ကေနရွာၿပီးရယူထားလိုက္ပါ ။ၿပီးရင္ Joomla ကုိနည္းနည္းရွင္းျပမယ္ ။
Joomla ဆိုတာက Website ေတြေရးတဲ့အခါ လွ်င္ျမန္လြယ္ကူတဲ့အတြက္ အသံုးမ်ားတဲ့ web
တစ္ခုပါပဲ ။အဲဒီ Web ကုိပဲ အမ်ိဳးမ်ိဳးျပင္ဆင္မွဳေတြျပဳလုပ္ၿပီး အသံုးျပဳၾကတာပါ ။ အိုေခ စၿပီ။

ပထမဆံုး -
 "Powered by Joomla!" for 1.5 and 1.6, 2.5 ဆိုၿပီး Google မွာရွာၾကည့္ပါ။ အဆင္ေျပတဲ့
ဆိုက္တစ္ခုခုကုိ terget ထားလိုက္ရေအာင္ ။ ဒီ tutorial အတြက္
http://www.rohingyatimes.org/ ကုိ tergat ထားလိုက္ရေအာင္ ။
ၿပီးရင္ အဲဒီ နာမည္ေနာက္မွာ"/index.php?option=com_users&view=registration"
ကုိထပ္ေပါင္းထည့္လိုက္ ။ အခုဥပမာအတြက္ဆိုရင္ -
http://www.rohingyatimes.org/index.php?option=com_users&view=registration
ျဖစ္သြားပါမယ္ ။ အဲဒါဆိုရင္ Register page ကုိေရာက္သြားပါမယ္ ။ error ျပရင္ Versionမတူလို႕ပါ။
ဒီနည္းနဲ႕ မရပါဘူး ။ Register page ရရင္ေတာ့ အဲဒီက Name ကုိ fire bug နဲ႕ဖြင့္လိုက္ပါ။
သူက Code ကုိျပေပးပါမယ္ ။ ဒီလိုျပင္လိုက္ပါ ။

<input name="jform[groups][]" value="7">


value =7 ဆိုတာက Admin Access ကုိလွမ္းေတာင္းလိုက္တာပါ ။ Value 1,5,7 ဆိုၿပီးရွိပါတယ္ ။ 1က
read permission , 5 က read write permission ,7 က read write execution permission ျဖစ္ပါတယ္ ။
ၿပီးရင္ က်န္တာကုိ  form view ကေန ဆက္ျဖည့္သြားပါ ။ Password ေနရာမွာေတာ့ ေလွ်ာက္ထည့္ပါ
ႏွစ္ခုမညီေအာင္ထည့္ပါ ။ ၿပီးရင္ Register လုပ္လုိက္ပါေတာ့ ။ ဒီအခါ Error ျပပါလိမ့္မယ္ ။ ျပသနာမရွိပါဘူး ။
ေနာက္တစ္ခါ Password ကို ညီေအာင္ထည့္ၿပီး ျပန္ Register လုပ္ပါ ။
ကုိယ္ျဖည့္ထားတဲ့ ေမးလ္ထဲကုိ အတည္ျပဳေမးလ္တစ္ေစာင္ပို႕ေပးပါလိမ့္မယ္ ။
အဲဒီေမးလ္ကုိဖြင့္ဖတ္လိုက္ပါ ။ ဒါဆို အဲဒီဆိုက္အတြက္အေကာင့္ရပါၿပီ အဲဒီအေကာင့္ဟာ Admin Level ရွိတဲ့
အေကာင့္ျဖစ္ပါတယ္ ။
http://www.rohingyatimes.org/administrator
လို႕ရိုက္ထည့္ၿပီး Login ၀င္လိုက္ပါ ။ ဒါဆိုတစ္ပိုင္းၿပီးပါၿပီ ။

 ေနာက္တစ္ပိုင္း-
Shell တင္တာကုိဆက္ပါမယ္။
အဲဒီထဲက Themes(template) ေတြရွိတဲ့ေနရာကုိသြားပါ ။ Module install ကေန Access လုပ္တဲ့သူလည္းရွိတယ္လို႕
သိရပါတယ္ ။ ကၽြန္ေတာ္ကေတာ့ Themes ကေနသြားတာပါ ။ အဲဒီေရာက္ရင္ Themes ထဲက အခုေလာေလာဆယ္
သံဳးထားတဲ့ Themes ကုိေရြးၿပီးရင္ ျပင္မယ္ဆိုတဲ့ ခလုပ္ကုိႏွိပ္ ။ Source Code ေပၚလာပါလိမ့္မယ္ ။
အဲဒီ အဲဒီ Code ကုိအကုန္ဖ်က္လိုက္ပါ ။ၿပီးရင္ ကုိယ့္ဆီမွာရွိေနတဲ့ Shell ကုိဖြင့္ၿပီးအဲဒီထဲက Code ကုိအကုန္ကူးၿပီး
Save လုပ္လိုက္ပါ ။ Save updated ျဖစ္ၿပီဆိုရင္ URL ကုိ ဒီလိုေလးျပင္လိုက္ပါ ။
http://www.rohingyatimes.org/tampletes/ကုိယ္ေရြးတဲ့tamplateနာမည္/ index.php
ဒါဆိုရင္ C99 Shell ေပၚလာပါၿပီ ။ အဲဒီမွာ root ေအာက္ကုိ၀င္ပါ အဲဒီက index ကုိဖ်က္ၿပီး ကုိယ့္ရဲ့ Deface page
ကုိအစားထိုးလို႕ရသလို အဲဒီ index ကုိပဲ edit လုပ္မယ္ဆိုၿပီး Code ေတြဖ်က္လို႕ ကုိယ့္ Deface page Code
ေတြကုိအစားလာသြင္းလို႕ရပါတယ္ ။တစ္ျခားဟာေတြလိုက္မလုပ္ပါနဲ႕။index ကုိပဲျပင္လိုက္ပါ ။
 index ကုိျပင္မွ Deface ျဖစ္တယ္ဆိုတာမွတ္ထားဖို႕လိုပါမယ္။ အဆင္ေျပပါေစ ။

No comments:

Post a Comment