Assalamualaikum dan salam sejahtera.Entry hari ini aku nak ajar korang cara nak hack dan pentest website dengan menggunakan tool yang bernama Fimap. Fimap ni sebenanrnya tool scanner yang ditulis dalam bahasa programming Python untuk teknik hacking Local File Inclusion (LFI) dan Remote File Inclusion (LFI).
Bagi yang belum tahu lagi kaedah hacking laman web RFI dan LFI ni boleh rujuk artikel terdahulu :
RFI : Tutorial RFI - Remote File Inclusion
LFI : Upload Shell dan Deface dengan LFI
Baiklah dalam tutorial ni aku akan tunjuk step-step menggunakan tool Fimap ni.Fimap ni boleh digunakan dalam Windows atau Linux.Dalam tutorial ni aku akan menggunakan Ubuntu 13.04.
Apa yang diperlukan :
1. Tool Fimap : https://code.google.com/p/fimap/downloads/detail?name=fimap_alpha_v09.tar.gz&can=2&q=
(Untuk windows sahaja ) :
Python : http://www.python.org/download/
note :Untuk pengguna Windows korang kena download Python dan Fimap.Untuk pengguna Linux korang cuma perlu download Fimap sahaja.
note2 : Untuk pengguna Backtrack, korang tak perlu download apa-apa.Semua dah siap ada.
2. Selepas dah download, install python ( windows) dan extract file fimap.Untuk memudahkan kerja, rename folder fimap tu dari fimap_alpha_v09 kepada fimap.
3. Selepas tu "cd" ke dalam folder fimap tersebut.Untuk windows aku cadangkan letak dalam drive C:/
dan untuk Linux aku cadangkan letak dalam Home.
Windows :
Buka cmd dan masukkan command :
cd C:/fimap
Linux :
Buka Terminal dan masukkan command :
cd fimap
Untuk Backtrack masukkan command :
cd /pentest/web/fimap
4. Baiklah sekarang masanya untuk kita mula menggunakan tool Fimap ni.Aku akan paparkan commands untuk fimap.Commands ni boleh digunakan pada Windows dan Linux.Untuk windows pastikan korang dah install python dan pastikan dah cd folder fimap.
Baiklah dibawah aku senaraikan commands yang korang perlu tahu :
Scan Sesuatu Laman Web Untuk Vulnerable RFI/LFI :
./fimap.py -u http://www.example.com/test.php?file=bang&id=23
Search Google untuk laman web yang vulnerable kepada RFI/LFI dengan Google Dork :
./fimap.py -g -q inurl:include.php
note: gantikan inurl:include.php dengan google dork RFI/LFI korang.
Mencari dan mengeluarkan list url yang vuln RFI/LFI dalam sesuatu laman web :
./fimap.py -H -u 'http://www.example.com' -d 3 -w /tmp/urllist
Ni antara commands basic yang korang perlu tau untuk menggunakan tool fimap ni.Nak lagi?
Boleh rujuk commands penuh di laman rasmi fimap :
FimapHelpPage
Baiklah itu saja untuk tutorial ni.semoga korang berjaya!
Incoming Search Terms :
No comments:
Post a Comment