📃
Anggi's Notes
  • Tentang Penulis
  • Preambule
  • Tutorial Red Team Area (General)
    • Tutorial Setup VirtualBox
    • Tutorial Setup Kali Linux pada VirtualBox
    • Network Adapter Type pada Virtual Box
    • Tutorial Port Forwarding Pada Virtual Box
    • Mempercepat update/upgrade/install Kali Linux
    • Networking in a Nutshell
    • Linux in A Nutshell
    • Linux Command Intro
    • VA-PT Cheatsheet
    • Penetration Testing Guide & Checklist
    • Pentesting Web checklist
    • NMAP Cheatsheet
    • Bind vs Reverse Shell Concept
    • Reverse Shell Cheatsheet
    • Linux TTY Shell Cheat Sheet
    • Menaikkan Common Shell ke Meterpreter
    • Metasploit Cheatsheet
      • msfvenom
      • searchploit
    • Metasploitable-2
    • Metasploitable-3
    • Linux Privilege Escalation
      • Linux Privilege Escalation with Misconfigured /etc/passwd
      • Linux Privilege Escalation with SUID
      • Linux Privilege Escalation with Misconfigured Sudo
      • Linux Privilege Escalation with MSF
    • DVWA
      • Brute Force
        • Low
        • Medium
        • High
      • Command Injection
        • Low
        • Medium
        • High
      • Local File Inclusion
        • Low
        • Medium
        • High
      • File Upload Vulnerability
        • Low
        • Medium
        • High
      • Cross Site Scripting (XSS)
        • Reflected
          • Low
          • Medium
          • High
        • Stored
          • Low
          • Medium
          • High
        • DOM
          • Low
          • Medium
          • High
      • SQL Injection
        • Non Blind
          • Low
          • Medium
          • High
        • Blind
          • Low
          • Medium
          • High
      • CSRF
        • Low
        • Medium
        • High
    • Pentesting Report Sample
    • Tutorial Penggunaan ZAP
    • Windows VA/Audit
      • DetExploit
      • HardeningKitty
      • Tutorial Installasi OWASP ZAP pada Windows OS
    • Linux VA/Audit dengan Lynis
    • Mobile Security Framework (MobSF) Windows Docker
  • Tutorial Red Team Area (Teknik Windows Attack )
    • Reconnaissance Techniques
    • Windows Red Team Exploitation Techniques
    • Windows Red Team Defense Evasion Techniques
  • Tutorial Blue Team Area
    • Merancang SOC
    • IR Playbook
    • Blue Team Opensource Online Tools
    • Wireshark Query Cheatsheet
  • Temuan Celah Keamanan
    • LFI (Directory Traversal) di redacted.co.id
    • Kredensial Database dan Azure Leaks pada redacted.com
    • HTML Injection di Tokopedia
    • 🤪4300$ Bounty from Opensource automate recon tools, why not?
    • I hacked Mastercard 4 times? But How?
    • LFI dan RCE di aset redacted.com
    • FTPd DOS di aset redacted.co.id
    • Gitlab SSRF di redacted.com
    • Firebase Android database Takeover
    • RCE di 11 Subdomain Dell
    • SSRF di redacted.com
    • Reflected XSS di CelticPipes
    • Git Disclosure di redacted.co.id
    • Open Redirection+XSS pada Private Program Bugcrowd
    • Rails Debug Mode Enabled pada redacted.com
Powered by GitBook
On this page
  • Sekilas Tentang LFI
  • Deskripsi Temuan
  • Proof Of Concept
  • Dampak Kerentanan LFI
  • Remidiasi
  • Timeline

Was this helpful?

  1. Temuan Celah Keamanan

LFI (Directory Traversal) di redacted.co.id

PreviousWireshark Query CheatsheetNextKredensial Database dan Azure Leaks pada redacted.com

Last updated 1 year ago

Was this helpful?

Sekilas Tentang LFI

LFI (Local File Inclusion) merupakan kerentanan yang memungkinkan penyerang untuk menyertakan file lokal yang tersimpan di server agar dapat menjadi bagian dari proses eksekusi aplikasi. Kerentanan LFI terjadi karena fungsi include pada aplikasi dapat dimanipulasi oleh pengguna melalui fungsi input.

LFI juga dapat terjadi pada fungsi aplikasi yang memproses file berdasarkan nama file yang diberikan oleh pengguna. Hal ini juga biasa disebut dengan kerentanan file path traversal. Input yang diberikan oleh pengguna bisa menggunakan link pada URL atau melalui fungsi input.

Singkat kata, dengan kerentanan LFI ini, penyerang dapat menginstruksikan aplikasi web untuk membaca isi file yang berada diluar direktori home aplikasi tersebut. Misalnya menginstruksikan aplikasi web untuk membaca nama user di webserver linux pada etc/passwd (misalnya). Selain membaca isi file, penyerang juga dapat menginstruksikan aplikasi web yang rentan untuk mengeksekusi kode pemprograman.

Sumber deskripsi tentang LFI dikutip dan/atau disadur dari .

Deskripsi Temuan

redacted.co.id ( nama situs yang disamarkan) merupakan salah satu E-commerce di Indonesia. Kerentanan LFI terjadi karena , yaitu meminta web untuk melakukan redirect ke luar direktori web dengan memanfaatkan dot-dot-slash (../) sebagai perintah untuk mundur satu tingkat ke direktori sebelumnya. Berikut ini merupakan pemanfaatan untuk LFI dengan target file /etc/passwd pada web redacted.co.id:

https://redacted.co.id/static/../../../a/../../../../etc/passwd

Proof Of Concept

POC kerentanan ini cukup mudah, yaitu dengan mengakses link path traversal pada deskripsi. Berikut merupakan POC kerentanan LFI di redacted.co.id:

1.Buka link berikut ini.

https://redacted.co.id/static/../../../a/../../../../etc/passwd

2.Web akan me-redirect ke URL berikut ini.

https://redacted.co.id/etc/passwd

3.Web akan menampilkan isi dari file pada /etc/passwd. Berikut merupakan screenshot file /etc/passwd pada webserver redacted.co.id .

Dampak Kerentanan LFI

Remidiasi

  1. Melakukan validasi atau sanitasi terhadap input yang diberikan oleh user. Web harus dapat membedakan format/karakter input user berdasarkan tujuan dari input tersebut. Berdasarkan kasus ini, dot-dot-slash (../) dapat disanitasi oleh sistem untuk mencegah path traversal.

  2. Melakukan pembatasan akses ke luar direktori aplikasi. Aplikasi web harus diatur agar tidak ada permintaan dari user untuk akses ke luar direktori web yang diijinkan.

  3. Mengurangi input langsung yang memungkinkan user dapat memanipulasi parameter yang akan langsung di eksekusi oleh server.

Timeline

Eksploitasi kerentanan LFI pada aplikasi web dapat memiliki dampak negatif yang tinggi. Bahkan, berdasarkan kerentanan LFI tercantum dalam daftar 10 teratas kerentanan aplikasi web. Penyerang dapat menginstruksikan aplikasi web untuk membaca isi file yang berada diluar direktori home aplikasi tersebut. Misalnya menginstruksikan aplikasi web untuk membaca nama user di webserver linux pada etc/passwd. Lebih lanjut, serangan dapat diekskalasikan menjadi Remote Code Execution untuk mengontrol webserver secara penuh.

Karena penyebab LFI pada kasus di redacted.co.id ini adalah path traversal, maka remidiasi yang dapat dilakukan berdasarkan adalah sebagai berikut:

artikel berikut
path traversal
path traversal
OWASP
portswigger
Gambar LFI pada redacted.co.id