找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2091|回复: 0
打印 上一主题 下一主题

hiweb cms后台多出权限绕过

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-20 08:19:46 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。/ L; z. O: V# i
" k) v. I& ?7 N  F

5 W0 Z5 k3 t8 R! ~6 o$ P1. http://xxxx/hiwebcms/system/USER/
% v/ o; X; b) l: g+ \可以直接看到所有后台用户信息9 N, @. K8 [- v  v: \1 x- u

& C2 R# A$ x6 U3 z2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm
1 x- A$ g8 V- e; c0 ~; c/ s/ L可以查看所有上传的文件,匿名用户也可以上传文件。- I7 i5 ?# U5 y0 M
; K; D! E* T. N- V4 M  L
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm5 P' f& ?% T8 u2 q8 N
可以查看cms的部分配置
# K% p  b6 q- n2 h: } . y& K1 O* G! k- G1 a; m% P
4. http://xxxx/hiwebcms/system/USER/userConfig.htm
4 h9 y1 f( E& A- [" k: z' X8 }9 |查看数据库中部分表结构* y! }5 i5 ]2 Y% S  I

# W) e/ ]; S2 `. t可以直接看到所有后台用户信息
* Y$ Y4 i  W0 p: U: z6 [% G! y1 |3 H1 J) c* c; }- ]  ~

9 g' E/ w6 J" B' B' K7 n; i$ ]* S8 w
可以查看所有上传的文件,匿名用户也可以上传文件。
* U2 v4 a- o6 O( x1 s) g( I3 R' i
7 j0 N7 F# H" E, r- K% l$ N
  k! k. C" @, D1 ?$ O& T8 a
" Q# @+ p# W( Y0 N$ O7 p) F: u5 M8 t0 b: D  }/ Y' e
可以查看cms的部分配置7 u' b+ _; J; g: i( P3 m

! T* w# f; u" i8 H& O' ~! X- }* C$ S2 s- E$ c

5 ~! K9 V" t( G5 h1 m* [: c9 H  s1 I. R! ^( }
查看数据库中部分表结构0 F0 ~. n  _! `. d3 e5 X

' M( e+ P" T9 P8 M* ^, {% o
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表