High
File Inclusion level High on DVWA
Di bawah ini adalah source-code dari file inclusion level High di DVWA.
Mencari Informasi
Perhatikan pada source code di atas, parameter page hanya diizinkan ketika file tersebut diakses dengan diawali kata "file" atau bernama include.php. Jika salah, maka akan muncul tampilan seperti berikut:
Validasi ini memiliki celah, yaitu kita bisa menggunakan protokol file://
untuk melihat file yang ada di server lokal target. Server akan mengizinkannya, karena memang diawali dengan kata "file".
Karena protokol ini hanya untuk melihat file yang ada di dalam server target, maka kita hanya bisa melakukan Local File Inclusion.
Melakukan serangan
Langsung saja kita jalankan payload seperti berikut:
Yup! berhasil!😁
Kali ini saya hanya bisa melakukan local file inclusion. Tetapi tetap saja kita bisa melakukan RCE. Untuk mengetahui caranya anda bisa melihat pembahasan celah file upload.
Happy Hacking! 🍻
Last updated