Directory Transversal

Rabu, April 22, 2009

1. Introduction
Apa itu Directory Transversal ? DT adalah sebuah command untuk membawa kita menuju folder satu tingkat lebih tinggi.

DT juga dikenal dengan "dot dot slash" karena syntaxnya adalah ../

1.1 Syntax

Syntax DT adalah
Code:

../


terdiri atas 2 dot dan satu slash.

Apabila hanya menuliskan 1 dot
Code:

./

yang terjadi adalah kita hanya akan kembali pada halaman yang sama.

Hal yang harus diperhatikan dalam URL adalah URL itu case sensitive. Sehingga besar serta kecilnya suatu huruf pada URL atau path haruslah diperhatikan. (thx exnome 4 reminder)

Code:

http://localhost/Path

tidak sama dengan
Code:

http://localhost/path


2. Penggunaan Directory Transversal

2.1 Dasar Penggunaan Directory Transversal

Jadi apabila ada sebuah susunan folder sebagai berikut dengan semakin kekanan berarti tingkatnya semakin kecil /a/b/c/, bila kita tambahkan ../ pada akhiran tersebut seperti ini /a/b/c/../ maka kita akan naik menuju folder b dan berakhir dengan url seperti ini /a/b/

Untuk mempermudah pengertian dibawah ini adalah contoh dari Dasar Penggunaan DT :

Misalkan kita mengunjungi sebuah website katakanlah address website tersebut adalah
Code:

http://www.directorytransversal.com/


Kita ceritanya sedang melihat-melihat website tersebut dan tiba pada address seperti dibawah ini
Code:

http://www.directorytransversal.com/product/dt/index.html


lalu kita ingin kembali menuju index product dari website tersebut yang letaknya tentunya berada pada parent folder

Dengan menggunakan teknik yang disebut DT maka kita dapat menuju parent folder dengan menambahkan syntax DT pada akhir URL seperti dibawah ini :
Code:

http://www.directorytransversal.com/product/dt/../


dengan menambahkan ../ pada akhir URL maka kita akan menuju URL dibawah ini yakni index product.
Code:

http://www.directorytransversal.com/product/


Apa yang perlu kita lakukan apabila kita inginnya kembali kehalaman utama (front page) saat kita berada pada
Code:

http://www.directorytransversal.com/product/dt/index.html


terlihat dari directory structure kita berada pada tingkat 2 (lihat struktur dibawah)
Quote
= Parent Folder
== Folder Product
=== Folder dt

maka kita cukup menambahkan sebuah syntax DT lagi seperti dibawah ini
Code:

http://www.directorytransversal.com/product/dt/../../


Jadi prosesnya adalah /../ pertama akan membawa kita naik menuju "Product" lalu /../ yang kedua akan membawa kita menuju parent folder dan selamat anda telah kembali menuju index utama hanya dengan menambahkan 2 ../ pada URL bar anda Smiley


2.2 Trik Pada Directory Transversal


jadi salah satu triknya adalah... misalkan ada 3 buah folder a, b dan c dengan susunan struktur a dan c ada didalam folder utama (parent folder) sedangkan folder b adalah subfolder dari folder a (lihat struktur dibawah ini)
Quote
= a
== b
= c

jadi misalkan kita ingin melihat folder c sedangkan kita sedang berada difolder b maka dengan menggunakan DT kita dapat berpindah langsung

Code:

misal URL : xxx.com/a/b/


dengan Syntax DT seperti ini :
Code:

xxx.com/a/b/../../c/


kita akan tiba difolder C

Langsung saja kita masuk kecontoh trik DT ini untuk mempermudah penjelasan. Kembali kecontoh pada 2.1 misalkan kita sedang berada
Code:

http://www.directorytransversal.com/product/dt/index.html


dan kita ingin melihat product lainnya misalkan link product tersebut adalah seperti dibawah ini
Code:

http://www.directorytransversal.com/dtz9z/index.html


maka kita dapat langsung menuju halaman tersebut dengan menggunakan syntax dibawah ini
Code:

http://www.directorytransversal.com/product/dt/../../dtz9z/


Jadi /../ akan membawa kita menuju folder "Product" , dan /../ kedua akan membawa kita menuju folder utama (parent folder) dimana setelah itu kita akan masuk menuju folder /dtz9z/
Sekian penjelasan trik kecil ini

Tentunya anda berpikir buat apa susah menulis ? toh biasanya ada link atau tombol back... nah kehebatan DT adalah kita dapat mengeksploitasi suatu web hanya dengan berilmukan DT seperti misalnya pada Realistic Mission 1 website c0der Smiley yang dimana kita diharuskan mereplace index yang ada dengan index yang lama ... tentunya dengan menggunakan DT semuanya menjadi mungkin...

Saya dapat berkata bahwa DT adalah teknik dasar yang mempunyai kemampuan eksploitasi tinggi dikarenakan kemudahan penggunaan serta banyaknya para webmaster yang melupakan melakukan pencegahan terhadap hal ini.

Penggunaan DT umumnya digunakan pada suatu website yang memperbolehkan kita menyimpang suatu file atau text dimana kita dapat memberi nama title sendiri pada file atau text yang akan kita simpan

Selain itu DT juga dapat digunakan saat melakukan penyerangan dengan menggunakan SSI (Server Side Include) Command.

3. Disclaimer

Sekali lagi penulis juga manusia yang tidak luput dari kesalahan (hohohohoho) dan penulis juga adalah seorang manusia biasa yang ilmunya masih pas-pasan hahahaha...

Updated 21/11/08 - Thx exnome 4 for the common knowledge that some people usually missed

Tulisan ini boleh dipublikasikan dengan syarat mencantumkan nama saya sebagai penulis.

Apabila ada yang ingin ditanyakan saya persilakan dan saya akan berusaha menjawab semampu saya

gr33tz,

z9z

You Might Also Like

0 comments

Komentar spam enggak bakal aku approve lho. Gunakan nama asli bukan keyword :p

Facebook

Subscribe