Komputer kampus

Anda sedang di : HomeWebsite › Fix Bug Hacking Tinymcpuk Pada CMS Lokomedia - Security Update Versi Komputerkampus.com

Artikel Berdasarkan Tag   hacking     cms lokomedia     google     template     email     materi kuliah     ubuntu     backtrack 5     windows xp     windows 7     database     visual basic     foxpro     opensuse     netbeans     STMIK Indonesia     domain     hosting     SEO     adsense     HTML     CSS     Javascript     PHP     lainnya     bisnis online     tips dan trik     internet     tutorial     hiren boot cd     virtualbox     flashdisk     facebook     website     cracking    

Raja Minyak Lintah Kalimantan Selatan Asli

Berkhasiat : Membantu Masalah Pria Dalam Berhubungan Intim
Hasil Maksimal Hanya Pemakaian 1 - 2 Minggu
Raja Minyak Lintah Asli Kalimantan Original Berkhasiat Raja Minyak Lintah Asli Kalimantan Original Berkhasiat

Fix Bug Hacking Tinymcpuk Pada CMS Lokomedia - Security Update Versi Komputerkampus.com

Diposting oleh : M.Najamudin Ridha
Senin, 19 Maret 2012 - 03:41:33 WIB - Kategori: Website - Dibaca: 19977 kali

Kali ini saya posting mengenai cms lokomedia lagi, berawal dari keisengan ketika kemaren jalan-jalan ke websitenya cms lokomedia (maklum udah lama ga berkunjung), makin rame aja dari tahun 2009 dulu, sekarang udah jauh sekali perkembangannya. update pun selalu ada jika terdapat bug ataupun perbaikan lainnya. setelah asik komentar ria ada yang bilang dengar-dengar dari situs hacking luar (dari salah satu pengguna cms lokomedia), ada celah di cms lokomedia (tepatnya dibagian tinymcpuknya) hal ini membuat saya kaget, apakah bisa? ini akan menjadi hal yang rawan lagi bagi website-website berbasis lokomedia termasuk website ini, saya coba search di google dengan keyword "Hack cms Lokomedia" ternyata sudah banyak yang membahas masalah ini, kemudian saya dapatkan penjelasan mengenai cara hackingnya (entah dari mana/siapa yang menemukan yang jelas ada pemberitahuan bahwa ini berasal dari situs eidelweiss.info dan saya tidak ingin cari tau lebih lanjut) keterangan ini saya temukan disini. dan penjelasan dari situs tersebut sebagai berikut :

=============================================================
CMS Lokomedia 1.5 Arbitary file upload vulnerability
=============================================================
Software: CMS Lokomedia
Vendor: http://bukulokomedia.com/home
Vuln Type: Arbitary file upload
Download : http://bukulokomedia.com/lokomedia-1.5.rar
Author: eidelweiss
contact: eidelweiss<at>windowslive<dot>com
Home: www.eidelweiss.info
DORK: use your skill and play your imagination :p
Gratz:
- Kuris : status udah merit aja beib.. kgak undang² iks..
- Richie RebelgiRL : (Limited edition.. lol) 
live is never flate so enjoy this live mate ^_^
=============================================================
exploit & p0c
<!> http://host/path_to_lokomedia/tinymcpuk/filemanager/browser.html
or
<!> http://host/tinymcpuk/filemanager/browser.html
or
<!> http://host//tinymcpuk/filemanager/frmupload.html
or
<!> http://host/path_to_lokomedia/tinymcpuk/filemanager/frmupload.html
your shell or file will be placed here

Wah gawat ternyata dengan mengakses secara langsung file browser.html ditambah dengan sedikit parameter bisa digunakan layaknya admin web, bisa buat upload file dan lainnya (shell yang berbahaya tentu akan merugikan adminweb) dan saya bingung mulai dari mana memperbaiki bug ini, dan di forum lokomedia juga sudah ada konfirmasi dari mas lukman bahwa akan ada update di akhir maret ini, kita tunggu saja update berikutnya dari mas lukman, namun untuk sementara jaga-jaga, saya punya tips kecil untuk mencegah hacking dari bug ini. ikuti langkah-langkah berikut :

Langkah Pertama, yang menjadi bug sebetulnya hanya dibagian tinymcepuknya saja (untuk saat ini :) nah solusi amannya cukup kita pindahkan saja isi dari folder tinymcepuknya (namun bagi website kawan-kawan yang sudah online, apabila folder ini di pindah semua akan terjadi error link untuk gambar-gambar yang di upload menggunakan tinymcepuk) seperti gambar dibawah ini :

fix bug cms lokomedia tinymcepuk

apabila website anda sudah online lakukan partial cut (sebagian file saja yang dipindah) tepatnya seperti gambar dibawah ini dan jangan cut folder gambar, seperti gambar dibawah ini :

fix bug cms lokomedia tinymcepuk

Kemudian pindahkan ke folder lain yang lebih rahasia dan aman (saran saya di adminweb) misal di adminweb (folder admin sangat perlu untuk rename folder ini dengan hal yang lebih rahasia) kemudian bikin folder baru untuk isi dari file tinymcepuknya, misalnya nama foldernya : edit0r3Na7c4 (yang ini juga samakan dengan adminweb, harus dirubah dan rahasia) seperti gambar dibawah ini :

fix bug cms lokomedia tinymcepuk

pastekan saja semua file tinymcepuknya di folder tersebut, dan langkah berikutnya jika tidak sesuai kita modifikasi sedikit pada bagian config.php yang misal terletak di : edit0r3Na7c4/filemanager/connectors/php/config.php. cari baris berikut :

/*-------------------------------------------------------------------------*/
/* Path to user files relative to the document root (no trailing slash)	   */
/*-------------------------------------------------------------------------*/
$fckphp_config<'UserFilesPath'> = "./lokomedia/tinymcpuk/gambar" ;
/*=========================================================================*/
/* Apabila sudah online, ubah baris 47 dengan settingan seperti berikut:   */
// $fckphp_config<'UserFilesPath'> = "./tinymcpuk/gambar" ; 

sebetulnya itu settingan tersebut bawaan dari lokomedia, sesuaikan dengan keinginan anda meletakkan direktori gambarnya, namun jika anda tidak ingin ada error link karena sudah anda online websitenya jangan anda rubah pada bagian ini, namun jika belum online saya sarankan anda sesuaikan dengan keinginan anda, namun jangan di ikutkan di dalam folder admin, hal ini akan membuat celah terbuka lagi karena link dari gambar yang di upload dengan tinymcpuk dapat diliat sourcenya dengan ctrl + U (bakal ketahuan nama folder adminya :)), lebih baik letakkan diluar folder adminweb anda. pilihanya sesuaikan jika sudah online hapus baris 47 dan hapus garis miring dua (//) pada baris 50.

Sampai saat ini anda masih belum bisa menggunakan tinymcepuk karena belum dirubah pada bagian media.php yang terletak di folder adminweb anda. cari script berikut :

<script language="javascript" 
type="text/javascript"  src="../tinymcpuk/tiny_mce_src.js"></script>

ganti dengan script berikut ini :

<!-- update bug versi komputerkampus.com//-->
<script language="javascript" 
type="text/javascript"  src="edit0r3Na7c4/tiny_mce_src.js"></script>

Perhatikan bagian edit0r3Na7c4, itu adalah folder tinymcpuk yang baru, sesuaikan dengan punya anda. demikian lah update dari saya, kita tunggu update yang terbaik dari mas lukman, sebetulnya dari kemaren-kemaren saya coba otak-atik supaya tinymcpuknya juga pakai session saat user/admin cms lokomedia login, tapi ga bisa-bisa (ga paham dengan scriptnya tinymcpuk :)) semoga bermanfaat, salam lokomeders

DOWNLOAD SCRIPT
http://komputerkampus.com/file/68update_bug_tinymcpuk_cms_lokomedia.zip/




    Via FeedBurner
Program Sederhana Simpan, Edit, Hapus pada Visual Basic 6.0
Setelah membahas tentang pembuatan database dan cara koneksinya, pada artikel kali ini saya akan ..
Pasang Plugin Komentar Facebook terbaru di website dengan CMS Lokomedia
Sebetulnya sudah banyak yang membahas tutorial kali ini, baik untuk blogger maupun wordpress. ..
cara membuat google lansiran (google alerts) dan mengelolanya
Ada ratusan lebih layanan yang dipersembahkan google kepada kita, dan tak jarang layanan tersebut ..
Contoh Project PHP membuat website dealer sederhana bagian 2
Project Sebelumnya Sesuai judul diatas (bagian 2) pasti ada juga bagian 1 nya (seri). ..

Komentar Via Facebook :

14 Komentar via komputer kampus :

1

Husain Yapono
19 Maret 2012 - 08:44:39 WIB

Trim atas info update securitynya, memang harus di Update tuh TinyMCpuk nya soalnya kemarin web ana juga kena, hehehe

2

ridha
19 Maret 2012 - 11:17:08 WIB

yapz.. kita tunggu update terbarunya aja mas... :)
untuk sementara hal ini mungkin bisa bertahan...

3

Thiant J-fruit
19 Maret 2012 - 21:47:12 WIB

yosh.. artikel yang bagus nih., sangat bermanfaat.,!

4

ridha
19 Maret 2012 - 21:51:33 WIB

mas @Thiant J-fruit thanks mas dah berkunjung,,, :)

5

cauza
22 Maret 2012 - 11:10:20 WIB

Trik yang bermanfaat... setidaknya bisa sedikit mengelabuhi, ditunggu trik yang lebih dahsyat lagi -- untuk session di editor tinympcpuk --

6

ridha
22 Maret 2012 - 14:41:23 WIB

ia mas,,, cuman untuk mengelabui... hee..
masih belum bisa yang session...hehe

7

cauza
22 Maret 2012 - 15:02:00 WIB

punya mas lukman juga masih bolong tu... coba akses url ini :
http://bukulokomedia.com/tinymcpuk/filemanager/br owser.html?Connector=connectors/php/connector.php
kita bisa upload dan hapus gambar sesuka kita

8

ridha
22 Maret 2012 - 19:57:49 WIB

ia, makanya mas... dari website saya juga bisa.... untuk sementara terpaksa cara manual kaya diatas...
yang lebih parahnya juga bisa buat upload file shell mas... ngeri amat kalo bisa sampe rekam form login kita...

9

cauza
22 Maret 2012 - 20:11:17 WIB

klo menurut mas ridha gimana solusi selanjutnya. Saya punya ide untuk mengubah browser.html menjadi browser.php kemudian dalam file phpnya di include session autenticatian. Kalo seperti itu kira-kira bisa ketutup gak ya?

10

ridha
22 Maret 2012 - 20:49:35 WIB

ia mas cauza,,,, cuman kita harus rubah di bagian pluginx juga... supaya mangil browser.php, bukan browser.html, dan juga banyak lagi yang harus dirubah... dan masih ga bisa misahin upload foto dari user biasa di halaman admin, juga upload dari adminweb. yang bisa liat semua foto dari anggotanya,,,

mungkin kalo dirombak total bisa mas.. perlu waktu lebih mungkin... :) soalnya saya coba2 malah bingung... hee... mungkin kalo bareng2 nanti kita coba....

11

Idham
03 Juni 2013 - 16:59:39 WIB

Terimakasih infonya bro..

12

fajri
05 September 2013 - 21:22:23 WIB

Keren CMS nya...
Ikutan coba gunain ya..

13

website tanya jawab
15 Agustus 2014 - 10:38:41 WIB

eidelweiss a.k.a randy arios bug hunter di exploit-db itu ya

14

rental mobil palembang
20 Desember 2016 - 18:03:22 WIB

Mas... agar kita dapat terhindar dari hacker apa yang musti dilakukan


Form Komentar Via Komputer kampus :

Nama *
Email *
Web/blog
Komentar *
  Karakter yang masih tersedia.
Captcha *

Untuk menghindari kontak spam dan memastikan bahwa anda adalah seorang manusia, maka jawablah pertanyaan keamanan berupa foto sahabat disamping. Mohon maaf atas ketidak nyamanan ini

 

M Najamudin Ridha Kuliah di STMIK Indonesia Banjarmasin jurusan TI, mengenal internet di tahun 2009 yang saat itu cuma sekedar iseng-iseng bikin blog biasa, walaupun sebelumnya tidak suka membaca dan apalagi menulis (artikel) akhirnya mulai menyukai kedua hal tersebut.

Kategori Artikel


RSS Feed


Langganan RSS
komputerkampus.com


Cari Artikel



Statistik Web


Pengunjung hari ini : 59
Total pengunjung : 789358
Hits hari ini : 198
Total Hits : 4654800
Pengunjung Online : 5

Poling


Apa OS yang anda gunakan ?
windows (xp, vista, 7, 8 dll)
linux (all distro linux)
Mac OS
OS Lain

    Lihat Hasil Poling

Link Sahabat


http://bukulokomedia.com
http://fadilcrows.blogspot.com
http://najamudin1.blogspot.com
http://nahdisnape.blogspot.com

Link Lainnya