Many component joomla have vulnerable, Why

Local File inclusion adalah salah satu permasalahan umum yang terdapat di dalam component joomla. dan kebanyakan dari mereka (devoloper) component untuk joomla banyak menghiraukan atau bahkan tidak pernah memperbaiki problem ini. entah apa yang mereka pikirkan saat membuat component ini ) so LOL banget katanya.

mungkin ini terlihat lucy ketika searing devopoler yang membuat component joomla, mereka hanya bisa membuat tanpa mengetahui how many risk on there component :-s

dan sangat menggelikan ketika component yang mereka buat menjadi momok untuk para pengguna component untuk memperindah website mereka.

Sebuah URL website saat website tersebut mengandung problem dengan component mereka dengan nama LFI adalah seperti ini (contoh):
index.php?option= com_simpledownload&bla bla bla id=angka

biasanya dalam sebuah component pada joomla, component yang sering menjadi permasalahan adalah pada parameter php adalah sebagai berikut ini :

1. controller 2. task 3. view 4. page 5. layout

untuk memberikan contoh supaya anda lebih mengerti akan terjadinya Vuln ini adalah ini ini :

URL: index.php?option=com_simpledownload&controller=bla bla bla
Vulnerable Parameter: controller

URl : index.php?option=com_mscomment&controller=bla bla bla bla
Vulnerable Parameter: controller

Dan akhirnya bagaimana kita dapat menggunakan url dengan parameter yang bermasalah tersebut agar bisa masuk ke dalam server :-s.
(Dag Dig Dug)

index.php?option=com_mscomment&controller= ../../../../../../../../../../../../../../../etc/passwd%00

di sini kita menggunakan nullbyte yang tekenal di google.com untuk memotong pembatasan yang telah di atur dalam script php si component yang problem. ( dan saya tidak bertanggung jawab jika Nullbyte bisa menetas *just kidding* )

dalam contoh di atas. parameter controller di gunakan untuk menyertakan file dalam hardisk lokal. dan file ini berisi dengan data penting, dan tentunya dapat di baca oleh user biasa . (tamu tak di undang)

Jika anda bertanya bagaimana terjadi. saya tidak akan menjelaskan. karena kalo saya jelaskan, bisa-bisa jadi skripsi nanti hahahha

izinkan untuk berfikir. oke saya izinkan.

Secara logika. jika namany local file inclusion. tentunya kita dapat mengingclude file-file yang ada di dalam server kan.
nak sekarang monggo di cobak untuk mengakses configuration.php

mungkin dari salah satu component dapat terjadi hal seperti itu karena kebanyakan LFI mengungkap source code php, lest try

index.php?option=com_kutukupret&view-./../../configuration.php

dan jika anda di ridoi oleh Allah SWT. anda akan melihat sekumpulan yang berisi tentang data untuk login ke database
dan berhubung anda dapat menemukan phpmyadmin. mencoba untuk masuk ke dalam phpmyadmin dan anda berhasi. Sujud syukur )

dan sekarang anda memiliki akses untuk semua table joomla. dan finally anda akan menemukan apa yang anda inginkan untuk memasuki server target.

heheheh

Greetings : Xshadow, Tukulesto, Kamtiez, Hmei7, r0b0t, legend-h
Special i like it : packetstormsecurity.org, exploit-id.com, exploit-db.com, osx86.net

Saya ingin anda terus berusaha untuk mendapatkan apa yang anda inginkan. berjuang

Salam saya Xr0b0t