LFI Di Situs Michael Heart

LFI Di Situs Michael Heart

Disclaimer

Artikel ini hanya untuk tujuan pembelajaran semata. Penulis tidak bertanggungjawab atas penggunaan maupun penyalahgunaan tulisan ini.

Intro

Sebenarnya ini sudah basi, dan mungkin repost. Tapi biar repost, yang penting happy™. Beberapa waktu lalu, ketika terjadi konflik Israel – Palestina di Gaza, ada seorang musisi bernama Michael Heart yang menuangkannya dalam lagu berjudul "We Will Not Go Down" dan lagu itu sendiri bebas di-download. Saya sendiri sudah men-download lagu tersebut. Tapi pada artikel ini, kita tidak akan membahas lagu tersebut melainkan celah yang terdapat pada situs Michael Heart.

The Proof

Langsung saja, saya menuju ke URL lagunya:

http://www.michaelheart.com/sfg/downloads/a22685d/dl.php?file=we_will_not_go_down.mp3

Coba perhatikan URL di atas, sudah tahu kan letak celahnya. Yup, LFI. Kalau belum mengerti, coba ditanyakan ke mbah google. Ok, singkat kata singkat cerita, dengan sedikit trik pada celah tersebut maka bisa diperoleh username dan password untuk databasenya. Dan lebih mudah lagi karena ternyata server databasenya terbuka untuk public menurut informasi dari nmap. Setelah tahu kondisi tersebut, coba kita koneksi ke server tersebut dengan username dan password yang sudah ada:





Ternyata bisa :| … dan selanjutnya kita lihat databasenya. hmmm… ada satu database yang menarik. Ok, kita coba lihat tables yang ada pada database tersebut.





Ok, cukup sekian acara melihat-lihatnya. Sekarang, kita dump saja databasenya biar bisa dipelajari isinya.





Ukuran dumpnya tidak terlalu besar tapi karena bandwidth yang < 1 kbps jadi prosesnya lama (lol). Nah, setelah selesai dan matang, hasilnya seperti ini:




Outro

Kalau tidak salah, celahnya sudah diperbaiki oleh yang bersangkutan. Akhir kata, artikel ini sangat sederhana dan kemungkinan besar hanya menjadi hiburan / bahan tertawaan bagi para 1337 … jadi saya mohon maaf jika demikian adanya. Kritik, saran dan caci-maki, silakan dituangkan pada comments.

Terima Kasih

Tanpa urutan: NitrouZ, dylavig, sakitjiwa, fl3xu5, k0il, d3l (terima kasih atas dukungannya), pinczakko, kris kaspersky, dan Anda :)

tabs-top
bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark
tabs-top

11 Comments »

  1. avatar
    08:54:03 - January 27th, 2009: #1

    Omaegat !! :o

    Udah masup SQL Server nyah ? ^:)^

    comment-bottom
  2. avatar
    10:33:32 - January 27th, 2009: #2
    heddy says:

    aih..ini blog kok isinya beginian sih mas? bah bah bah..jadi tambah sering mampir saya ngeliat ginian..jadi pengen belajar..mohon bimbingannya

    comment-bottom
  3. avatar
    01:30:52 - January 28th, 2009: #3
    iwan says:

    walau basi tapi bagi aq tidak
    so makasih yah atas infonya….

    comment-bottom
  4. avatar
    04:46:34 - January 28th, 2009: #4
    drubicza says:

    #1,
    itu hanya beruntung soalnya terbuka untuk umum :D

    #2,
    terima kasih atas kunjungannya, kita sama2 belajar om :)

    #3,
    sama-sama :)
    oh iya, terima kasih telah mampir di sini

    comment-bottom
  5. avatar
    11:43:54 - January 28th, 2009: #5
    garo says:

    loh om,, pke osx pa hekintos skarang?? koq pkenya iTerm??
    anw tengkyu wat tutornya :D

    comment-bottom
  6. avatar
    13:58:00 - January 28th, 2009: #6
    drubicza says:

    #5,
    weks, bro garo mampir di mari juga ternyata. weleh, itu hanya titlenya aja dibikin iTerm. itu aslinya mrxvt :D

    comment-bottom
  7. avatar
    08:47:51 - January 29th, 2009: #7
    dylavig says:

    hehe… mantap bro dru .. :D . btw ada bro garo(ng) .. alow bro ..

    comment-bottom
  8. avatar
    20:54:20 - February 16th, 2009: #8
    k0il says:

    wah…wah…wah… tambah mantab aja bro dru neh,,,,,huehheheheh

    comment-bottom
  9. avatar
    05:50:47 - February 17th, 2009: #9
    drubicza says:

    #8,
    wah, bro ini bisa saja. kemana aja bro? lama ga keliatan…

    comment-bottom
  10. avatar
    14:08:10 - April 30th, 2009: #10
    aje says:

    gambar scannya bagus, pakai apa systemnya??

    comment-bottom
  11. avatar
    18:39:43 - November 9th, 2009: #11

    itu model na gmn ya cara masuk na, kok ga dijelasin :D

    comment-bottom

RSS feed for comments on this post. TrackBack URL

Leave a comment