LFI Di Situs Michael Heart
Disclaimer
Artikel ini hanya untuk tujuan pembelajaran semata. Penulis tidak bertanggungjawab atas penggunaan maupun penyalahgunaan tulisan ini.
Intro
Sebenarnya ini sudah basi, dan mungkin repost. Tapi biar repost, yang penting happy™. Beberapa waktu lalu, ketika terjadi konflik Israel – Palestina di Gaza, ada seorang musisi bernama Michael Heart yang menuangkannya dalam lagu berjudul "We Will Not Go Down" dan lagu itu sendiri bebas di-download. Saya sendiri sudah men-download lagu tersebut. Tapi pada artikel ini, kita tidak akan membahas lagu tersebut melainkan celah yang terdapat pada situs Michael Heart.
The Proof
Langsung saja, saya menuju ke URL lagunya:
http://www.michaelheart.com/sfg/downloads/a22685d/dl.php?file=we_will_not_go_down.mp3
Coba perhatikan URL di atas, sudah tahu kan letak celahnya. Yup, LFI. Kalau belum mengerti, coba ditanyakan ke mbah google. Ok, singkat kata singkat cerita, dengan sedikit trik pada celah tersebut maka bisa diperoleh username dan password untuk databasenya. Dan lebih mudah lagi karena ternyata server databasenya terbuka untuk public menurut informasi dari nmap. Setelah tahu kondisi tersebut, coba kita koneksi ke server tersebut dengan username dan password yang sudah ada:
Ternyata bisa 
… dan selanjutnya kita lihat databasenya. hmmm… ada satu database yang menarik. Ok, kita coba lihat tables yang ada pada database tersebut.
Ok, cukup sekian acara melihat-lihatnya. Sekarang, kita dump saja databasenya biar bisa dipelajari isinya.
Ukuran dumpnya tidak terlalu besar tapi karena bandwidth yang < 1 kbps jadi prosesnya lama (lol). Nah, setelah selesai dan matang, hasilnya seperti ini:
Outro
Kalau tidak salah, celahnya sudah diperbaiki oleh yang bersangkutan. Akhir kata, artikel ini sangat sederhana dan kemungkinan besar hanya menjadi hiburan / bahan tertawaan bagi para 1337 … jadi saya mohon maaf jika demikian adanya. Kritik, saran dan caci-maki, silakan dituangkan pada comments.
Terima Kasih
Tanpa urutan: NitrouZ, dylavig, sakitjiwa, fl3xu5, k0il, d3l (terima kasih atas dukungannya), pinczakko, kris kaspersky, dan Anda 
11 Comments »
RSS feed for comments on this post. TrackBack URL
Leave a comment
Ads
Terms of Use - Privacy Policy - About US - Ads - Chat | Load Server 54 queries in 0.479 second(s).
Omaegat !!
Udah masup SQL Server nyah ?
aih..ini blog kok isinya beginian sih mas? bah bah bah..jadi tambah sering mampir saya ngeliat ginian..jadi pengen belajar..mohon bimbingannya
walau basi tapi bagi aq tidak
so makasih yah atas infonya….
#1,
itu hanya beruntung soalnya terbuka untuk umum
#2,
terima kasih atas kunjungannya, kita sama2 belajar om
#3,
sama-sama
oh iya, terima kasih telah mampir di sini
loh om,, pke osx pa hekintos skarang?? koq pkenya iTerm??
anw tengkyu wat tutornya
#5,
weks, bro garo mampir di mari juga ternyata. weleh, itu hanya titlenya aja dibikin iTerm. itu aslinya mrxvt
hehe… mantap bro dru ..
. btw ada bro garo(ng) .. alow bro ..
wah…wah…wah… tambah mantab aja bro dru neh,,,,,huehheheheh
#8,
wah, bro ini bisa saja. kemana aja bro? lama ga keliatan…
gambar scannya bagus, pakai apa systemnya??
itu model na gmn ya cara masuk na, kok ga dijelasin