High
File Inclusion level High on DVWA
Last updated
File Inclusion level High on DVWA
Last updated
Di bawah ini adalah source-code dari file inclusion level High di DVWA.
Perhatikan pada source code di atas, parameter page hanya diizinkan ketika file tersebut diakses dengan diawali kata "file" atau bernama include.php. Jika salah, maka akan muncul tampilan seperti berikut:
Validasi ini memiliki celah, yaitu kita bisa menggunakan protokol file://
untuk melihat file yang ada di server lokal target. Server akan mengizinkannya, karena memang diawali dengan kata "file".
Karena protokol ini hanya untuk melihat file yang ada di dalam server target, maka kita hanya bisa melakukan Local File Inclusion.
Langsung saja kita jalankan payload seperti berikut:
Yup! berhasil!😁
Kali ini saya hanya bisa melakukan local file inclusion. Tetapi tetap saja kita bisa melakukan RCE. Untuk mengetahui caranya anda bisa melihat pembahasan celah file upload.
Happy Hacking! 🍻