Hacking

Konsep Dasar Remote & Local File Inclusion ( RFI & LFI )

Setelah lama gak liat liat blog, karna harus menghadapi UN 2013 yang semerawut akhirnya bisa berbagi ilmu lagi. kali ini tengtang RFI & LFI ( Remote Local Inclusion & Local File Inclusion )

Remote File Inclusion – RFI

adalah teknik memanfaatkan celah dalam suatu website untuk menyisipkan file file dari luar website tersebut selanjutnya file akan di eksekusi oleh server. Contoh :


Contoh 1

Anggaplah halaman yang jelek dan gak karuan tersebut adalah website yang mempunyai celah RFI & LFI, contoh tersebut saya buat di localhost jadi tidak ada yang di rugikan di sini.

Terlihat di URL BAR terdapat

/RFI.php?halaman=

RFI.php adalah nama halaman yang terdapat Celah dan ?halaman= adalah Method $_GET yang akan kita exsploitasi. selanjutnya kita lihat gambar ke 2

Contoh RFI & LFI ariefhikam.wordpress.com
Contoh RFI & LFI ariefhikam.wordpress.com

ini adalah contoh halaman yang kita sudah sisipkan halaman / file lain ke dalam website yang mempunyai celah RFI & LFI. Terlihat di URL Bar terdapat :

/RFI.php?halaman=http://www.php.net/

http://www.php.net/ adalah halaman / file yang kita sisipkan ke dalam website yang membahayakan adalah bagaimana kalau kita menyisipkan halaman / file file yang di dalamnya ada perintah perintah berbahaya seperti backdoor dll.

Jadi apa sih yang terjadi pada website tersebut?

yang terjadi adalah website yang mempunyai celah RFI & LFI tersebut menyisipkan halaman http://www.php.net/index.php kedalam websitenya yang selanjutnya akan di eksekusi.

Terus Masalahnya Dimana?

masalahnya adalah di program php website tersebut terdapat celah untuk menyisipkan file. Contoh :

<?php

include($_GET[‘halaman’]);
?>

pada program di atas terdapat include() include adalah perintah dalam pemrograman php untuk menyisipkan halaman. contoh kasus di atas halaman di sisipkan berdasarkan variable $_GET[‘halaman’] di sinilah letak masalahnya.

LFI

Local File Inclusion tidak jauh beda dengan RFI. Jika RFI menyisipkan halaman / file di luar website atau server sedangkan LFI Menyisipkan File di dalam website / server.  Biasanya File yang di tuju adalah file file system yang menyimpan informasi server seperti /etc/passwd untuk system operasi linux. Contoh :

Contoh RFI & LFI ariefhikam.wordpress.com
Contoh RFI & LFI ariefhikam.wordpress.com

Letak celah kemanannya sama dengan kasus RFI di atas, hanya saja penggunaanya yang berbeda kasus LFI tersebut menyisipkan ../passwords.txt ke dalam halaman website sehingga penyerang dapat mengetahui isi dari passwords.txt tersebut.

Teknik

Tekniknya cukup mudah hanya dengan modal ../ dan nama file yang ingin di sisipkan. terus apa gunanya ../ ?

../ adalah untuk menentukan lokasi file 1 folder di atas RFI.php sedangkan ./ adalah untuk menentukan lokasi file terdapat di folder yang sama.

One thought on “Konsep Dasar Remote & Local File Inclusion ( RFI & LFI )

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s