Selamat pagi semesta pagi ini admin akan membahas tentang bug LFI yang bisa dikatakan bug lama ya,aneh rasanya jika membahas RFI tidak ada LFI wkwk,oke langsung saja LFI (Local File Inclusion) adalah bug suatu website yang dapat menyebabkan seorang attacker dapat membaca ataupun mengupload file di dalam server,saya akan menunjukan code yang dapat menyebabkan LFI dapat di exploitasi hacker.

<?php

include($page);

?>

Misal page=contact.php,di dalam url menjadi URL:http://target.go.id/index.php?page=contact.php

Terlihat bahwa variable page diatas menginclude file begitu saja,sehingga seorang attacker dapat mengexploitasi nya,contoh seorang attacker ingin membaca folder /etc/passwd,URL:http://target.go.id/index.php?page=../../../etc/passwd.Hanya dengan menambahkan ../ sesuai dengan kedalaman folder dalam server tersebut.

Lalu jika file etc/passwd sudah terbaca apakah sudah selesai?belum ini masih mencoba apakah kita dapat membaca file didalam server,lalu tahap selanjutnya adalah membaca folder /proc/self/environ dengan mengganti etc/passwd tadi contoh.URL:http://target.go.id/index.php?page=../../../proc/self/environ.Nah jika sudah terbaca folder /proc/self/environ kalian bisa melanjutkan untuk memulai exploitasi,tetapi disini saya tidak akan menjelaskan bagaimana cara mengexploitasi nya karena ini hanya untuk edukasi,jika kalian ingin melakukan exploitasi kalian bisa klik link Ini untuk mengetahui cara exploitasi nya.Sekian dari saya saya akhiri selamat pagi dan sampai jumpa