Translate

Patch BUG CMS Lokomedia

Bagi anda yang pernah membeli buku dari lokomedia yang berjudul Jalan Pintas Menjadi Master PHP karangan Lukmanul Hakim. Buku tersebut memberikan bonus project website lengkap dengan tutorial dan dan source codenya. Tak dimungkiri saya pun sangat banyak belajar dari buku tersebut.

tetapi setelah saya pelajari dan di utak-atik, CMS tersebut memiliki Bugs yang sangat Fatal dan berbahaya, saya tidak perlu menggunakan tekhnik hacking yang rumit utk menjadi sang Administrator Web.
Kesalahan sang programmer berada di file /admin/content.php yang tidak menyertakan start session() untuk menyaring / membedakan antara user biasa dan administrator. sehingga dari URL browser saya lansung megetikkan url : "http://www.contohcms.com/admin/content.php?module=user" apa yang terjadi? Saya lalu di lempar ke halam yang berfungsi untuk menginputkan user baru (yang seharusnya user baru dikelola oleh admin web) Saya klik tombol Tambah User. Setelah menginputkan user baru dan menyimpan nya saya dilempar lagi ke halaman yang bertulisan "Untuk Mengakses Modul Anda Harus Login" Lalu saya login dengan mengetikkan username dan password yang baru saja saya inputkan tadi. Hasilnya.......!!!! Saya pun berhasil login (Meski Belum menjadi Administrator) berikutnya saya mengganti URL Pada browser menjadi "http://www.contohcms.com/admin/content.php?module=berita" Saya kemudian menginputkan sebuah berita dengan judul asal-asalan, kategori=terserah, isi berita= terserah, foto berita='kosong'  simpan berita tersebut, kemudian lakukan edit berita yang beru saja saya inputkan. sekarang saya mau mengganti foto berita yang tadinya masih kosong, saya mau mengganti dengan Shell PHP (Bisa anda download di Kategori Download Pada Blog ini) Ternyata sang programmer tidak memproteksi jenis extension file yang akan di upload, Al hasil saya berhasil mengupload shell php ke server terletak di folder /admin/foto-berita/shell.php. saya mengeksekusi shell tersebut, dan........(Selanjutnya Terserah Anda:: Mau mendeface, memberitahukan ke admin website, atau mau melumpuhkan total website tersebut--Namun Bersikaplah selayaknya Hacker sesuai dengan Etika hacking ) tidak hanya menjadi administraotr di website tersebut saya pun menjadi Root di server tempat website tersebut di hosting.


PATCH
untuk memperbaiki bugs pada CMS Lokomedia bisa dengan memberikan Patch pada file /admin/content.php
dengan menambahkan penggalan kode berikut :


session_start();
if (empty($_SESSION[namauser]) AND empty($_SESSION[passuser])){
  echo "Maaf anda tidak berhak menjalankan modul ini";
}
else{
.....Statement
}





Menambahkan penggalan kode yang sama di file /admin/aksi.php

session_start();
if (empty($_SESSION[namauser]) AND empty($_SESSION[passuser])){
  echo "Maaf anda tidak berhak menjalankan modul ini";
}
else{
.....Statement
}

menyaring file yang akan di upload kode pada file aksi.php saat mengedit berita dengan penggalan kode berikut:


if ($tipe_file != "image/jpeg" AND $tipe_file != "image/pjpeg"){
      echo "Gagal menyimpan data !!!
            Tipe file $nama_file : $tipe_file
            Tipe file yang diperbolehkan adalah : JPG/JPEG.
";
       echo "Ulangi Lagi";  
    }
    else{
    .....statement
}
Sekian dari saya.. kalau ada yang kurang mohon di tambahkan..
Untuk menyaring target hacking yang menggunakan CMS Lokomedia, bisa menggunakan dork :
allinurl:/media.php?module=berita
 
 
AldyFrz 

7 comments:

  1. widiyartiApril 11, 2012 at 6:22 AM

    Terima kasih sudah menguji tingkat keamanan website kami synersia.org
    Terima kasih juga sudah memberikan "tips and trick" bagaimana mengatasinya.
    Namun cukup disesalkan karena ini website gerakan sosial untuk membantu anak2 dhuafa dan yatim serta media yang diandalkan untuk meraih donasi (tidak memiliki kantor) menjadikan gerakan kami sempat terhambat.

    BTW terima kasih dan mohon bantuannya

    ReplyDelete
    Replies
    1. widiyartiApril 11, 2012 at 7:10 AM

      Maaf mau bertanya. Bagaimana cara menambahkan kode2 tadi di file programnya? Terima kasih.
      Mohon informasinya dikirim ke:

      synersia.corp@gmail.com

      Delete
    2. AnonymousApril 18, 2022 at 10:34 PM

      Tutorial Networking: Patch Bug Cms Lokomedia >>>>> Download Now

      >>>>> Download Full

      Tutorial Networking: Patch Bug Cms Lokomedia >>>>> Download LINK

      >>>>> Download Now

      Tutorial Networking: Patch Bug Cms Lokomedia >>>>> Download Full

      >>>>> Download LINK ka

      Delete
  2. DikaDecember 30, 2012 at 8:44 AM

    malah error gan -_-

    ReplyDelete
    Replies
    1. AnonymousAugust 2, 2013 at 6:55 AM

      Untuk Web CMS Lokomedia Yang standar masih banyak celahnya.. , maklum yang buat-nya sendirian,
      selain itu Mas lukman memberikan menset bagaimana membuat web yang simpel, tapi gak norak,
      ya mungkin bagi agan2 yang tahu soal ini mari kita sempurnakan,
      kebetulan saya lagi mengeksplore CMS ini, yang memang saya rombak dari segi standar coding hingga
      Membuat Templatenya Tanpa harus merubah content.
      Nanti kalau udah selesai saya akan share....
      Thanks..

      Delete
  3. dimasNovember 29, 2013 at 11:27 PM

    saya juga pakai
    :)

    ReplyDelete
  4. AnonymousApril 18, 2022 at 10:33 PM

    Tutorial Networking: Patch Bug Cms Lokomedia >>>>> Download Now

    >>>>> Download Full

    Tutorial Networking: Patch Bug Cms Lokomedia >>>>> Download LINK

    >>>>> Download Now

    Tutorial Networking: Patch Bug Cms Lokomedia >>>>> Download Full

    >>>>> Download LINK n7

    ReplyDelete

Subscribe to: Post Comments (Atom)