LFI:(Local File Incluesion) ini bug di website yg memungkinkan seseorang mengakses smua file di dalem Server cuma dengan melalui URL
RFI:(Remote File Inclusion adl bug webset yg dimana sebuah webset mengijinkan User mengincluede kan file dari luar webset
End :v
Ini disebabkan karna adanya fungsi berikut didalam sebuah script
====Script===
include ();
include_once() ;
require ();
require_once();
====Script===
Aksi LFI/RFI bisa terjadi dengan syarat konfigurasi PHP di server adl
====Script===
allow_url_include = on
allow_url_fopen = on
magic_quotes_gpc
====Script===
Contoh e apabila sebuah file index.php pada isi kode ada Script seperti ini
include "../$_get{textfile}";
?>
Pada/di URL akan terlihat seperti nin http://target.com/index.php?text=text.php
Script tsb pasti akan menampilkan halaman "text.php" tanpa tanda kutip! :v
dgn ada nya hal tsb seseorang/hacker lamer/attacker_as0e bisa melakukan LFI karna variable text file di incluede gitu aja tanpa ada e filter :) inimah roko w yg gw lagi isep :D
Misal nya untuk ngakses file passwd yg ada pada Server maka u bisa coba dengan cara masukin url seperti ini ../../../../../../../../../etc/passwd
jumlah tanda "../" tergantung dalem nye folder tempat file "index.php" berada,sehingga isi file passwd akan ditampilkan di browser. Apabila sewaktu" lu exekusi terdapat eror contoh eror nya ada di bawah
Warning: main(../../../../../../../../../etc/passwd.php) {function.main}: failed to open stream:
No such file or directory in /their/webroot/index.php on line 3
Perhatiin pada passwd ternyata ditambah dengan exetensi ".PHP" berarti code yg digunakan untuk incluede seperti ini
include($_Get[imagefile].".php');
?>
RFI:(Remote File Inclusion adl bug webset yg dimana sebuah webset mengijinkan User mengincluede kan file dari luar webset
End :v
Ini disebabkan karna adanya fungsi berikut didalam sebuah script
====Script===
include ();
include_once() ;
require ();
require_once();
====Script===
Aksi LFI/RFI bisa terjadi dengan syarat konfigurasi PHP di server adl
====Script===
allow_url_include = on
allow_url_fopen = on
magic_quotes_gpc
====Script===
Contoh e apabila sebuah file index.php pada isi kode ada Script seperti ini
include "../$_get{textfile}";
?>
Pada/di URL akan terlihat seperti nin http://target.com/index.php?text=text.php
Script tsb pasti akan menampilkan halaman "text.php" tanpa tanda kutip! :v
dgn ada nya hal tsb seseorang/hacker lamer/attacker_as0e bisa melakukan LFI karna variable text file di incluede gitu aja tanpa ada e filter :) inimah roko w yg gw lagi isep :D
Misal nya untuk ngakses file passwd yg ada pada Server maka u bisa coba dengan cara masukin url seperti ini ../../../../../../../../../etc/passwd
jumlah tanda "../" tergantung dalem nye folder tempat file "index.php" berada,sehingga isi file passwd akan ditampilkan di browser. Apabila sewaktu" lu exekusi terdapat eror contoh eror nya ada di bawah
Warning: main(../../../../../../../../../etc/passwd.php) {function.main}: failed to open stream:
No such file or directory in /their/webroot/index.php on line 3
Perhatiin pada passwd ternyata ditambah dengan exetensi ".PHP" berarti code yg digunakan untuk incluede seperti ini
include($_Get[imagefile].".php');
?>
