jump to navigation

Cara Teknik Hacking : File inclusion August 26, 2011

Posted by ariefsyamsudien in Hacking.
trackback
halo bro setelah sekian lama jalan-jalan ane nemuin satu potingan kang sidqon yang unik untuk dibahas di pertemuan kita kali ini apasih yang akan dibahas? ok disini saya membahas tentang Teknik Hacking : File inclusion apa sih itu!!! itu adalah teknik yang di gunakan para hacker untuk menemukan sebuah bug dalam suatu server, ada banyak teknik yang dapat dilakukan seperti brute force, File inclusion, XSS, atau yang lain.

yang akan dibahas kang sidqon kali ini adalah teknik file inclusion. tepatnya local file inclusion (LFI).

local file inclusion merupakan teknik membaca file apa saja yang terdapat dalam server tersebut. hal ini tentunya sangat beresiko. kesalahan yang menyebabkan hal ini terjadi adalah kesalahan dalam pemrograman web yang mana berfungsi sebagai reader.

setelah mengetahiu apa itu file inclusion, masi kita simak struktur url sebagai berikut.

http://http://www.example.com/index.php?page=about.php

Saya jelaskan satu persatu.
1. bagian yang di warnai merah merupakan protokol HTTP yang digunakan untuk halaman web (port default : 80)
2. hijau : merupakan alamat server yang akan di buka
3. biru : merupakan sebuah file utama (home) sekaligus sebagai reader.
4. kuning : tulisan “page” merupakan sebuah variabel yang nantinya di isi string “about.php” agar “index.php” membaca file tersebut.

nah… disinilah letak kecacatannya. seorang kakak kelas saya menemukan sebuah hole yang cokup sangat besar pada website sebuah universitas di surabaya yang mengakibatkan dia dapat mengganti susunan rangking penerimaan mahasiswa baru. darimanakan hoe tersebut berada? ya di url nya lah yang mengandung hole yang cukup besar.

beginilah isi file index.php yang biasanya dan sangat rawan terhadap file inclusion:
skrip di atas akan menginclude kan halaman yang berada di variabel page. kelemahan tersebut bukan hanya pada bahasa php saja, melainkan hampir semua pemrograman web seperti perl yang dibungkus oleh cgi, asp, dan lain lain.

beginilah isi file index.php yang biasanya dan sangat rawan terhadap file inclusion:



skrip di atas akan menginclude kan halaman yang berada di variabel page. kelemahan tersebut bukan hanya pada bahasa php saja, melainkan hampir semua pemrograman web seperti perl yang dibungkus oleh cgi, asp, dan lain lain.

nah yang menjadi masalah adalah, file tersebut dapat mengakses file apapun yang terletak di server anda. termasuk “index.php?page=/../../../../etc/passwd”

atau minimal CMS seperti jooml* dengan mengetikkan “index.php?page=configuration.php”

gawatlah akun admin kita. hehe… bagaimana lagi kalo si anonim tersebut mengupload webshell, haha… kalo si White Hat pasti melaporkannya ke admin. kalo si Black Hat?. entahlah nasibmu…

NB: DISINI SAYA MELAKUKAN COPAS 93% TAPI G SALAH KAN SAYA MENCANTUMKAN SUMBERNYA TERUS SAYA SHARE KEPADA KALIAN TOH KALIAN YANG UNTUNG

By: Xp-ku.tk

Comments»

1. derosteller - August 26, 2011

First blood….
Layak dicoba…meluncur ke arena

2. arief - August 26, 2011

:l silahkan say

3. pakraden - August 26, 2011

aku kurang mudeng dengan php bro . . .
GRATIS BACKLINK KLIK http://backlinkcity.blogspot.com

4. al shinoda - August 28, 2011

Wah wah. Mending jgn pake domain .tk, udah kabur domainnya, pake blogspot.com aje. Hehe

5. arief - August 28, 2011

hehehehhehe tapi koq masih bisa bang masuk web ente…………..


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: