Trik LFI : Download atau Membaca Source Code dengan PHP://FILTER - Elang Sakti
Download Ebook Belajar Arduino PDF, Arduino untuk pemula
Jasa Pembuatan Program Arduino, pemrograman Arduino
# Hack Your Skills! to be Professional Mechatronics

Trik LFI : Download atau Membaca Source Code dengan PHP://FILTER

Tidak ada komentar
Sebelumnya saya tekankan bahwa ini bukan artikel tentang hacking, tapi hanya sekedar berbagi pengetahuan bagi web admin bagaimana cara kerja LFI, apa saja yang biasa dilakukan hacker, dan langkah apa yang harus disiapkan untuk menanggulangi serangan-serangan dari khususnya serangan LFI.

Yang sudah ngarti tentang LFI, monggo dilewati :). Buat yang belum tau, LFI adalah singkatan dari Local File Inclusion. Maksudnya, pada PHP ada fasilitas agar kita bisa meng-include / import file dari source local hanya bermodalkan URL. Selain itu ada juga istilah RFI (Remode File Inclusion). Teknik ini merupakan bug yang sejenis, namun source file bisa dari luar sistem. Akan tetapi pada tulisan kita kali ini akan membahas pada LFI saja hehe :). Oke, contoh berikut adalah URL yang rentan terhadap bug LFI dan atau RFI:
http://web.com/index.php?page=file1.php

Nah, file1.php adalah file yang diinclude untuk menampilkan halaman pada index.php. Include via URL bisa berfungsi dengan syarat konfigurasi pada php.ini adalah sebagai berikut:

magic_quotes_gpc = off
allow_url_include = on
allow_url_fopen = on

Pada umumnya attacker memanfaatkan bug LFI ini pada awalanya hanya untuk ngecek /etc/passwd. Berikutnya attacker bisa meracuni Apache Access Log, /proc/self/environ, atau PHP session untuk membuat lubang lanjutan. Misal untuk mengupload file, dll. Selain itu, attacker bisa menggunakan PHP://FILTER untuk mendownload file (php://filter/read=bzip2.compress/resource=) atau untuk menampilkan source code (dengan php://filter/read=convert.base64-encode/resource=). Berikut contohnya:
//untuk download file1.php dengan format bzip
http://web.com/index.php?page=php://filter/read=bzip2.compress/resource=file1.php
//untuk menampilan source code file1.php
http://web.com/index.php?page=php://filter/read=convert.base64-encode/resource=file1.php

Yak, demikian semoga bermanfaat :).

Written by ElangSakti
Trik LFI : Download atau Membaca Source Code dengan PHP://FILTER
Bahasan: Sebelumnya saya tekankan bahwa ini bukan artikel tentang hacking, tapi hanya sekedar berbagi pengetahuan bagi web admin bagaimana cara ker...
Published at Senin, 25 Februari 2013, Updated at Senin, 25 Februari 2013
Reviewed by dr. on
Rating: 4.7

Tidak ada komentar :

Posting Komentar