# Hack Your Skills! to be Professional Mechatronics
Yak, demikian semoga bermanfaat :).
Trik LFI : Download atau Membaca Source Code dengan PHP://FILTER
ElangSakti
hacking
,
Informatika
,
lfi
,
local file inclusion
,
PHP
,
Programming
,
Scrap of Scripts
Tidak ada komentar
Sebelumnya saya tekankan bahwa ini bukan artikel tentang hacking, tapi hanya sekedar berbagi pengetahuan bagi web admin bagaimana cara kerja LFI, apa saja yang biasa dilakukan hacker, dan langkah apa yang harus disiapkan untuk menanggulangi serangan-serangan dari khususnya serangan LFI.
Yang sudah ngarti tentang LFI, monggo dilewati :). Buat yang belum tau, LFI adalah singkatan dari Local File Inclusion. Maksudnya, pada PHP ada fasilitas agar kita bisa meng-include / import file dari source local hanya bermodalkan URL. Selain itu ada juga istilah RFI (Remode File Inclusion). Teknik ini merupakan bug yang sejenis, namun source file bisa dari luar sistem. Akan tetapi pada tulisan kita kali ini akan membahas pada LFI saja hehe :). Oke, contoh berikut adalah URL yang rentan terhadap bug LFI dan atau RFI:
http://web.com/index.php?page=file1.php
Nah, file1.php adalah file yang diinclude untuk menampilkan halaman pada index.php. Include via URL bisa berfungsi dengan syarat konfigurasi pada php.ini adalah sebagai berikut:
magic_quotes_gpc = off allow_url_include = on allow_url_fopen = on
Pada umumnya attacker memanfaatkan bug LFI ini pada awalanya hanya untuk ngecek /etc/passwd. Berikutnya attacker bisa meracuni Apache Access Log, /proc/self/environ, atau PHP session untuk membuat lubang lanjutan. Misal untuk mengupload file, dll. Selain itu, attacker bisa menggunakan PHP://FILTER untuk mendownload file (php://filter/read=bzip2.compress/resource=) atau untuk menampilkan source code (dengan php://filter/read=convert.base64-encode/resource=). Berikut contohnya:
//untuk download file1.php dengan format bzip http://web.com/index.php?page=php://filter/read=bzip2.compress/resource=file1.php //untuk menampilan source code file1.php http://web.com/index.php?page=php://filter/read=convert.base64-encode/resource=file1.php
Yak, demikian semoga bermanfaat :).
Top Artikel :
Written by ElangSakti
Trik LFI : Download atau Membaca Source Code dengan PHP://FILTER
Bahasan: Sebelumnya saya tekankan bahwa ini bukan artikel tentang hacking, tapi hanya sekedar berbagi pengetahuan bagi web admin bagaimana cara ker...
Published at Senin, 25 Februari 2013, Updated at Senin, 25 Februari 2013
Reviewed by dr. on
Rating: 4.7
Trik LFI : Download atau Membaca Source Code dengan PHP://FILTER
Bahasan: Sebelumnya saya tekankan bahwa ini bukan artikel tentang hacking, tapi hanya sekedar berbagi pengetahuan bagi web admin bagaimana cara ker...
Published at Senin, 25 Februari 2013, Updated at Senin, 25 Februari 2013
Reviewed by dr. on
Rating: 4.7
Langganan:
Posting Komentar
(
Atom
)
Tidak ada komentar :
Posting Komentar