找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2089|回复: 0
打印 上一主题 下一主题

hiweb cms后台多出权限绕过

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-20 08:19:46 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。: x6 Q% m% Y. S* c# I

; _' [7 z8 b. x ' b1 h8 e8 J. r( }% x
1. http://xxxx/hiwebcms/system/USER/
; S7 @" F1 _& B* @* S) ^可以直接看到所有后台用户信息  x! B. S1 B7 m" W/ R4 h; Q
  _- P$ o" S1 l: {
2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm
2 K# i& |2 B8 h& E. |可以查看所有上传的文件,匿名用户也可以上传文件。
$ I! w0 E# v. e1 ?7 D 1 @9 Q$ c$ Z0 T# J! E5 R) p
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm5 P; z# [( @% X
可以查看cms的部分配置
* ], p0 }' q% B; q0 u
! h5 l& U4 O3 i9 d5 E4. http://xxxx/hiwebcms/system/USER/userConfig.htm' o& R* s: a* I
查看数据库中部分表结构
- `4 o6 }  P' k4 x) \# P. t
1 ]4 e% \# P$ t- o可以直接看到所有后台用户信息5 R0 |+ D! y" u+ M* b; v2 G" x- p7 d

' u7 J% J% I1 v& W, R8 s) O
; R' K  ^" _) W' E& \( d7 m, }* n$ m; ?% Q6 j* \
可以查看所有上传的文件,匿名用户也可以上传文件。1 F8 k- q( G4 T( u$ Z& T5 |5 R
9 P. O8 n0 d2 N

; ~! z! L9 D+ D/ S* T" `9 k0 Q1 t4 ^+ P% X4 C
9 e/ U7 T: d  M  U9 ~4 c" O
可以查看cms的部分配置
: v6 W6 ]" n2 L( z
6 X- t9 @( z: F: O! o  M
# N2 z8 N# J& B" U8 \
# \* c8 O$ s+ ]6 L" [: {7 Z- k9 {: m& Y- O/ P2 m# t
查看数据库中部分表结构
- U# I5 E# t2 ]  N' d& d
" ]& g4 _& c) t; d' K$ X
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表