找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1975|回复: 0
打印 上一主题 下一主题

hiweb cms后台多出权限绕过

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-20 08:19:46 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
  HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。7 w$ P' u1 A5 d- @4 `
# d7 j9 L6 ]' b6 H* U  M( z

8 |# w2 S- A* ~2 L* i1. http://xxxx/hiwebcms/system/USER/
8 }8 {7 k* B) L! M  `3 @可以直接看到所有后台用户信息
" M" k" A! h0 _6 u1 R1 V- f2 X
1 H: B* I, U# x0 L) W; M( f  j% n2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm
8 C: ~4 _' j# E' \1 r3 u! c/ ~) Z可以查看所有上传的文件,匿名用户也可以上传文件。
3 ^+ S* R/ _; E' v3 @ 5 p% X$ {0 e% x9 \1 |
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm% g' `. n- @0 E8 C
可以查看cms的部分配置
5 C4 E. V* {: ]$ J! i 1 b0 m% T. O4 C
4. http://xxxx/hiwebcms/system/USER/userConfig.htm
: |7 u: W- S5 R, X查看数据库中部分表结构  g2 r4 K' p' f) L

" @: H5 j7 A5 ?7 }% m可以直接看到所有后台用户信息
! Y( ?9 E% d: u& X- D2 M8 y/ ~2 t% a% A) T% ?
3 @% a4 ?: v; Z

: B- k) ]& |1 U+ N' P: k% X! a可以查看所有上传的文件,匿名用户也可以上传文件。. h/ D" T- @0 A  n& ~

& h7 k# ^0 ?5 M$ ^: `6 _
3 b, Q0 w2 E/ E# T5 ^) w
0 i0 b9 d8 C# Z, H6 g- I+ T) l: a3 g/ T1 r1 ^0 \
可以查看cms的部分配置2 Z7 A. F) i* a+ A0 s

5 O# X$ \6 O; @1 R9 p! V
" Y; e9 o5 K! b! d/ @9 j& Q
! a/ Q$ y+ o) ^  P9 E* B) D' `/ C% @: L( H8 r- p3 V
查看数据库中部分表结构- [, K" {& e' }# V

* A& i. |3 m6 r+ a
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表