Kali ini saya posting mengenai cms lokomedia lagi, berawal dari keisengan ketika kemaren jalan-jalan ke websitenya cms lokomedia (maklum udah lama ga berkunjung), makin rame aja dari tahun 2009 dulu, sekarang udah jauh sekali perkembangannya. update pun selalu ada jika terdapat bug ataupun perbaikan lainnya. setelah asik komentar ria ada yang bilang dengar-dengar dari situs hacking luar (dari salah satu pengguna cms lokomedia), ada celah di cms lokomedia (tepatnya dibagian tinymcpuknya) hal ini membuat saya kaget, apakah bisa? ini akan menjadi hal yang rawan lagi bagi website-website berbasis lokomedia termasuk website ini, saya coba search di google dengan keyword "Hack cms Lokomedia" ternyata sudah banyak yang membahas masalah ini, kemudian saya dapatkan penjelasan mengenai cara hackingnya (entah dari mana/siapa yang menemukan yang jelas ada pemberitahuan bahwa ini berasal dari situs eidelweiss.info dan saya tidak ingin cari tau lebih lanjut) keterangan ini saya temukan disini. dan penjelasan dari situs tersebut sebagai berikut :

=============================================================
CMS Lokomedia 1.5 Arbitary file upload vulnerability
=============================================================
Software: CMS Lokomedia
Vendor: http://bukulokomedia.com/home
Vuln Type: Arbitary file upload
Download : http://bukulokomedia.com/lokomedia-1.5.rar
Author: eidelweiss
contact: eidelweiss<at>windowslive<dot>com
Home: www.eidelweiss.info
DORK: use your skill and play your imagination :p
Gratz:
- Kuris : status udah merit aja beib.. kgak undang² iks..
- Richie RebelgiRL : (Limited edition.. lol)
live is never flate so enjoy this live mate ^_^
=============================================================
exploit & p0c
<!> http://host/path_to_lokomedia/tinymcpuk/filemanager/browser.html
or
<!> http://host/tinymcpuk/filemanager/browser.html
or
<!> http://host//tinymcpuk/filemanager/frmupload.html
or
<!> http://host/path_to_lokomedia/tinymcpuk/filemanager/frmupload.html
your shell or file will be placed here

Wah gawat ternyata dengan mengakses secara langsung file browser.html ditambah dengan sedikit parameter bisa digunakan layaknya admin web, bisa buat upload file dan lainnya (shell yang berbahaya tentu akan merugikan adminweb) dan saya bingung mulai dari mana memperbaiki bug ini, dan di forum lokomedia juga sudah ada konfirmasi dari mas lukman bahwa akan ada update di akhir maret ini, kita tunggu saja update berikutnya dari mas lukman, namun untuk sementara jaga-jaga, saya punya tips kecil untuk mencegah hacking dari bug ini. ikuti langkah-langkah berikut :

Langkah Pertama, yang menjadi bug sebetulnya hanya dibagian tinymcepuknya saja (untuk saat ini :) nah solusi amannya cukup kita pindahkan saja isi dari folder tinymcepuknya (namun bagi website kawan-kawan yang sudah online, apabila folder ini di pindah semua akan terjadi error link untuk gambar-gambar yang di upload menggunakan tinymcepuk) seperti gambar dibawah ini :

apabila website anda sudah online lakukan partial cut (sebagian file saja yang dipindah) tepatnya seperti gambar dibawah ini dan jangan cut folder gambar, seperti gambar dibawah ini :

Kemudian pindahkan ke folder lain yang lebih rahasia dan aman (saran saya di adminweb) misal di adminweb (folder admin sangat perlu untuk rename folder ini dengan hal yang lebih rahasia) kemudian bikin folder baru untuk isi dari file tinymcepuknya, misalnya nama foldernya : edit0r3Na7c4 (yang ini juga samakan dengan adminweb, harus dirubah dan rahasia) seperti gambar dibawah ini :

pastekan saja semua file tinymcepuknya di folder tersebut, dan langkah berikutnya jika tidak sesuai kita modifikasi sedikit pada bagian config.php yang misal terletak di : edit0r3Na7c4/filemanager/connectors/php/config.php. cari baris berikut :

/*-------------------------------------------------------------------------*/
/* Path to user files relative to the document root (no trailing slash)    */
/*-------------------------------------------------------------------------*/
$fckphp_config<'UserFilesPath'> = "./lokomedia/tinymcpuk/gambar" ;
/*=========================================================================*/
/* Apabila sudah online, ubah baris 47 dengan settingan seperti berikut:   */
// $fckphp_config<'UserFilesPath'> = "./tinymcpuk/gambar" ;

sebetulnya itu settingan tersebut bawaan dari lokomedia, sesuaikan dengan keinginan anda meletakkan direktori gambarnya, namun jika anda tidak ingin ada error link karena sudah anda online websitenya jangan anda rubah pada bagian ini, namun jika belum online saya sarankan anda sesuaikan dengan keinginan anda, namun jangan di ikutkan di dalam folder admin, hal ini akan membuat celah terbuka lagi karena link dari gambar yang di upload dengan tinymcpuk dapat diliat sourcenya dengan ctrl + U (bakal ketahuan nama folder adminya :)), lebih baik letakkan diluar folder adminweb anda. pilihanya sesuaikan jika sudah online hapus baris 47 dan hapus garis miring dua (//) pada baris 50.

Sampai saat ini anda masih belum bisa menggunakan tinymcepuk karena belum dirubah pada bagian media.php yang terletak di folder adminweb anda. cari script berikut :

<script language="javascript"
type="text/javascript"  src="tinymcpuk/tiny_mce_src.js"></script>
<!-- ubah menjadi berikut //-->
<!-- update bug versi komputerkampus.com//-->
<script language="javascript"
type="text/javascript"  src="edit0r3Na7c4/tiny_mce_src.js"></script>

Perhatikan bagian edit0r3Na7c4, itu adalah folder tinymcpuk yang baru, sesuaikan dengan punya anda. demikian lah update dari saya, kita tunggu update yang terbaik dari mas lukman, sebetulnya dari kemaren-kemaren saya coba otak-atik supaya tinymcpuknya juga pakai session saat user/admin cms lokomedia login, tapi ga bisa-bisa (ga paham dengan scriptnya tinymcpuk :)) semoga bermanfaat, salam lokomeders.