🎯 TryHackMe + SQL Injection দিয়ে হ্যাকিং শেখা: Linux, GitHub আর VirtualBox ব্যবহার করে রিয়েল ট্রেইনিং গাইড
লেখক: Bug Mohol | তারিখ: জুন ২০২৫
আজকের সাইবার দুনিয়ায় SQL Injection (SQLi) হচ্ছে সবচেয়ে প্রচলিত এবং মারাত্মক ওয়েব আক্রমণ। হাজারো ওয়েবসাইট এখনও এই দুর্বলতার ফাঁদে পা দেয়। যদি আপনি সত্যিকারের Ethical Hacker হতে চান, তাহলে শুধু তাত্ত্বিক জ্ঞান নয়, বাস্তব লাইভ এক্সপ্লয়টের ওপর হাতেকলমে দক্ষতা অর্জন করা জরুরি। এই গাইডে আমরা TryHackMe প্ল্যাটফর্মের সাহায্যে SQLi কীভাবে কাজে লাগানো যায় সেটা একদম প্র্যাকটিক্যাল, step-by-step শিখবো। সাথেই শিখবেন কিভাবে Linux VM, VirtualBox আর GitHub ব্যবহার করে নিজের হ্যাকিং ল্যাব তৈরি করবেন।
📦 প্রয়োজনীয় টুলস ও সফটওয়্যার
এই ট্রেনিং করার জন্য নিচের টুলস গুলো আপনার কাছে থাকতে হবে। এগুলো নিয়ে কাজ করলে আপনি বাস্তব জীবনের মতো পরিবেশ পাবেন, যেখানে আপনি শিখতে পারবেন হাতে কলমে হ্যাকিং:
- ✅ Kali বা Ubuntu Linux (VirtualBox-এ ইনস্টল করতে পারবেন)
- ✅ VirtualBox - ফ্রি VM ম্যানেজার
- ✅ Git ও GitHub - কোড ভার্সন কন্ট্রোল এবং শেয়ার করার জন্য
- ✅ Burp Suite - ওয়েব অ্যাপ্লিকেশন সিকিউরিটি টেস্টিং টুল
- ✅ TryHackMe অ্যাকাউন্ট - বাস্তব হ্যাকিং চ্যালেঞ্জের জন্য
🧪 হ্যাকিং ল্যাব সেটআপ: Step-by-Step গাইড
এবার আসুন, ধাপে ধাপে নিজের ল্যাব তৈরি করি যেখানে SQL Injection নিয়ে হাতে-কলমে কাজ করতে পারবেন:
🔹 Step 1: Kali Linux ইন্সটল VirtualBox-এ
প্রথমেই Kali Linux-এর VirtualBox ভার্সন ডাউনলোড করুন: https://www.kali.org/get-kali/#kali-virtual-machines
VirtualBox-এ সেটআপ করার পর Kali VM চালু করুন। Kali হচ্ছে পেন্টেস্টিং-এর জন্য সবচেয়ে প্রিয় Linux ডিস্ট্রিবিউশন।
🔹 Step 2: DVWA (Damn Vulnerable Web App) GitHub থেকে ক্লোন করা
এখন আমরা DVWA নামের একটা purposely vulnerable ওয়েব অ্যাপ্লিকেশন ক্লোন করবো, যা বিভিন্ন ওয়েব অ্যাটাক প্র্যাকটিসের জন্য ব্যবহৃত হয়। Kali-তে নিচের কমান্ডগুলো রান করুন:
sudo apt update && sudo apt install apache2 php mysql-server php-mysqli git -y
cd /var/www/html/
sudo git clone https://github.com/digininja/DVWA.git
sudo chown -R www-data:www-data DVWA
🔹 Step 3: MySQL ডাটাবেজ ও Apache সার্ভার কনফিগার করা
DVWA চালানোর জন্য MySQL-এ একটি ডাটাবেজ তৈরি করতে হবে:
sudo mysql
CREATE DATABASE dvwa;
exit
sudo systemctl restart apache2
তারপর ব্রাউজারে http://localhost/DVWA/setup.php এ গিয়ে ডাটাবেজ সেটআপ সম্পন্ন করুন।
🔹 Step 4: TryHackMe SQL Injection রুমে প্রবেশ
TryHackMe-তে SQL Injection রুম রয়েছে, যেখানে হাতে-কলমে বিভিন্ন SQLi টাস্ক ও চ্যালেঞ্জ পাবেন। নতুনদের জন্য একদম পারফেক্ট প্ল্যাটফর্ম।
🔍 SQL Injection লাইভ এক্সপ্লয়ট
SQL Injection আক্রমণ মূলত ওয়েব অ্যাপ্লিকেশনের ইনপুট ফিল্ডে ম্যালিশিয়াস SQL কোড ঢুকিয়ে ডাটাবেজ কন্ট্রোল করা হয়। উদাহরণস্বরূপ, যদি ইনপুট ফিল্ডে নিচের ইনপুট দিন:
1' OR 1=1 -- এটি সব রেকর্ড রিটার্ন করবে, কারণ 1=1 সবসময় সত্য। অর্থাৎ ইনপুট ফিল্ডটি সুরক্ষিত নয়।
🔧 Burp Suite দিয়ে Advanced SQL Injection
Burp Suite ব্যবহার করে HTTP রিকুয়েস্ট ইন্টারসেপ্ট করে ম্যানুয়ালি ইনজেকশন পয়েন্টে পে-লোড পাঠাতে পারেন। নিচে একটা উদাহরণ:
- ব্রাউজারকে Burp Suite এর প্রক্সি দিয়ে কানেক্ট করুন।
- টার্গেট URL-এ রিকুয়েস্ট পাঠিয়ে সেটি ইন্টারসেপ্ট করুন।
- Intruder ট্যাবে যান, ইনজেকশন পয়েন্টে নিচের পে-লোড দিন:
' UNION SELECT NULL,NULL,NULL --- Response টাইম ও স্ট্যাটাস কোড দেখে এক্সপ্লয়ট সফল কিনা নিশ্চিত করুন।
🛠️ GitHub দিয়ে আপনার SQLi ল্যাব পাবলিশ করুন
আপনার তৈরি ল্যাব, কনফিগারেশন ও এক্সপ্লয়ট ফাইল গুলো GitHub-এ আপলোড করুন যাতে আপনি বা অন্য কেউ যেকোনো সময় ব্যবহার করতে পারে:
git init
git remote add origin https://github.com/yourname/sqli-lab.git
git add .
git commit -m "Initial commit"
git push -u origin main
🧠 প্রফেশনাল SQL Injection টিপস ও ট্রিকস
- 🔹 SQLMap ব্যবহার করে অটোমেটেড টেস্টিং করুন:
sqlmap -u "http://target.com/page.php?id=1" --dbs - 🔹 Blind SQLi টেস্ট করতে পারেন:
' OR IF(1=1, SLEEP(5), 0) -- - 🔹 Burp Repeater দিয়ে ম্যানুয়ালি রিকুয়েস্ট পরীক্ষা করুন।
- 🔹 DVWA-তে Security Level পরিবর্তন করে বিভিন্ন লেভেলে অনুশীলন করুন।
- 🔹 Input Validation এবং Prepared Statements ব্যবহার করে SQLi প্রতিরোধ শিখুন।
📚 আরও পড়ুন Bug Mohol-এ:
- 🔐 Linux Core Dump Password Leak - CVE-2025
- 🐀 Undetectable Windows RAT Exploit - 2025
- 🌐 Earth Lamia (China APT) - SAP SQL Server Attacks
🔚 উপসংহার
এই গাইডটি অনুসরণ করলে আপনি SQL Injection এর মৌলিক থেকে অ্যাডভান্সড সব দিক বুঝতে পারবেন, সাথে TryHackMe ও GitHub ব্যবহার করে বাস্তবমুখী ল্যাব তৈরি করতে পারবেন। আরেকটু পরিশ্রম করলে আপনি স্ক্রিপ্ট কিডি থেকে পেশাদার Ethical Hacker-এ পরিণত হতে পারবেন।
ভবিষ্যতে Bug Mohol এ আমরা XSS, LFI, OS Command Injection এবং আরো অনেক এডভান্সড টপিক নিয়ে আলোচনা করব। আমাদের সঙ্গে থাকুন, সর্বশেষ হ্যাকিং ট্রেন্ড শিখুন।
