• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar

LinuxSec Exploit

Nothing is Ever Locked

  • XSS Payloads
  • About Us

Tutorial Deface dengan Bug CMS Lokomedia

January 10, 2014 by Jack Wilder 3 Comments

Sebelumnya ane kasih info kalau Lokomedia adalah CMS asli buatan Indonesia jadi kalau kalian nemu bug nya jangan diobrak abrik ya . Contact adminnya atau kalo bisa di patch ssekalian. 😀
Sebenarnya ini bug lama sih. tapi jika kalian sabar dan beruntung tentunya, kalian tetap bisa mendapatkan target vuln dengan bug Lokomedia.
Ada banyak bug lokomedia. Ane jelasin satu satu.


Lokomedia Default Password .
Banyak admin admin situs yang tidak mengubah default password dari CMS Lokomedia.
caranya :
Masuk ke login adminnya di localhost/admin/ atau localhost/adminweb/
Dan berikut adalah daftar user serta password CMS Lokomedia
admin : admin
wiro : sableng
sinto : gendeng
joko : sembung

Bug Upload di CMS Lokomedia
nah, kalo yang ini, kadang script lama  lokomedia belum diupdate sama webmasternya sehingga kita bisa melakukan upload dari halaman admin tanpa login. ataupun kita bisa melakukan aksi add user .
Jika emmang bug nya add user, caranya adalah masuk ke
site/adminweb/content.php?module=user lalu tambahkan user serta password disitu.
Selanjutnya kalian bisa login di /adminweb/ atau /admin/ (tergantung letak halaman loginnya)

Lalu yang kedia adalah bug di modul download
site/adminweb/content.php?module=download . disitu kalian bisa upload shell kalian, dan letak file nya adalah di site/files/namashell.php .

Yang ketiga adalah bug di modul banner.
yaitu di site/adminweb/content.php?module=banner . kalian langsung saja tambahkan banner . letak shellnya ada di site/foto_banner/namashell.php .

Oke, kali ini ane nemu web dengan bug add banner di ikamesinits.org .
masuk ke http://www.ikamesinits.org/adminweb/content.php?module=banner

lalu klik “tambah Banner”

Setelah upload selesai kadang memang ada notice “anda harus login”
tapi coba kita lihat apa upload nya berhasil, cek di
http://www.ikamesinits.org/adminweb/content.php?module=banner

Berhasil kan ? 😀
Akses shellnya di site/foto-banner/namashell.php
Karena ane tadi upload file sendy.php , maka file nya ada di
http://www.ikamesinits.org/foto_banner/sendy.php

Sekarang terserah kalian mau diapain tuh site :*

www.ikamesinits.org

Sekian dan jangan disalahgunakan 😀
Use at Your Own Risk !!

Shares

Filed Under: Uncategorized Tagged With: Exploit, Hacking

Reader Interactions

Comments

  1. sewa tenda murah says

    June 4, 2014 at 7:20 pm

    Mantabs nih tutorialnya

    Reply
  2. Share Doang says

    May 22, 2015 at 10:52 am

    Tutorial yang sangat bermanfaat

    Reply
  3. idam nur iqbal says

    March 19, 2017 at 11:02 am

    terlalu suah buat saya gan,
    coba cek http://idamnuriqbal.id apa ada kelemahannya gan masta, klu ada mohon info dmana letak kelemahannya. agar dapat saya perbaiki
    terima kasih.

    salam,

    orang awam

    Reply

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Primary Sidebar

Popular Post

Tool Deface Opencart Bruteforce and Upload Image

Mass Deface setelah Rooting Server

GitHub Custom Domain or Subdomain Takeover

Azure Traffic Manager Custom Domain or Subdomain Takeover

Shopify Custom Domain or Subdomain Takeover

Surge.sh Custom Domain or Subdomain Takeover

DNS Hijacking through Social Engineering

Prestashop Module Blocktestimonial File Upload Auto Exploit

WordPress Fraction Theme Version 1.1.1 Privilege Escalation

Cracking FTP Password using Hydra on BackBox Linux

LinuxSec / 85 queries in 0.18 seconds