LFI Di Situs Michael Heart | NitrouZ Personal Pages

LFI Di Situs Michael Heart

By on January 27, 2009 in Security

Disclaimer

Artikel ini hanya untuk tujuan pembelajaran semata. Penulis tidak bertanggungjawab atas penggunaan maupun penyalahgunaan tulisan ini.

Intro

Sebenarnya ini sudah basi, dan mungkin repost. Tapi biar repost, yang penting happy™. Beberapa waktu lalu, ketika terjadi konflik Israel – Palestina di Gaza, ada seorang musisi bernama Michael Heart yang menuangkannya dalam lagu berjudul "We Will Not Go Down" dan lagu itu sendiri bebas di-download. Saya sendiri sudah men-download lagu tersebut. Tapi pada artikel ini, kita tidak akan membahas lagu tersebut melainkan celah yang terdapat pada situs Michael Heart.

The Proof

Langsung saja, saya menuju ke URL lagunya:

http://www.michaelheart.com/sfg/downloads/a22685d/dl.php?file=we_will_not_go_down.mp3

Coba perhatikan URL di atas, sudah tahu kan letak celahnya. Yup, LFI. Kalau belum mengerti, coba ditanyakan ke mbah google. Ok, singkat kata singkat cerita, dengan sedikit trik pada celah tersebut maka bisa diperoleh username dan password untuk databasenya. Dan lebih mudah lagi karena ternyata server databasenya terbuka untuk public menurut informasi dari nmap. Setelah tahu kondisi tersebut, coba kita koneksi ke server tersebut dengan username dan password yang sudah ada:





Ternyata bisa :| … dan selanjutnya kita lihat databasenya. hmmm… ada satu database yang menarik. Ok, kita coba lihat tables yang ada pada database tersebut.





Ok, cukup sekian acara melihat-lihatnya. Sekarang, kita dump saja databasenya biar bisa dipelajari isinya.





Ukuran dumpnya tidak terlalu besar tapi karena bandwidth yang < 1 kbps jadi prosesnya lama (lol). Nah, setelah selesai dan matang, hasilnya seperti ini:




Outro

Kalau tidak salah, celahnya sudah diperbaiki oleh yang bersangkutan. Akhir kata, artikel ini sangat sederhana dan kemungkinan besar hanya menjadi hiburan / bahan tertawaan bagi para 1337 … jadi saya mohon maaf jika demikian adanya. Kritik, saran dan caci-maki, silakan dituangkan pada comments.

Terima Kasih

Tanpa urutan: NitrouZ, dylavig, sakitjiwa, fl3xu5, k0il, d3l (terima kasih atas dukungannya), pinczakko, kris kaspersky, dan Anda :)

About drubicza

View all posts by drubicza

, , ,

11 Responses to LFI Di Situs Michael Heart

  1. Muhammad Baiquni November 9, 2009 at 18:39 #

    itu model na gmn ya cara masuk na, kok ga dijelasin :D

Older Comments

Leave a Reply

Follow @draskolnikova