HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。7 w$ P' u1 A5 d- @4 `
# d7 j9 L6 ]' b6 H* U M( z
8 |# w2 S- A* ~2 L* i1. http://xxxx/hiwebcms/system/USER/
8 }8 {7 k* B) L! M `3 @可以直接看到所有后台用户信息
" M" k" A! h0 _6 u1 R1 V- f2 X
1 H: B* I, U# x0 L) W; M( f j% n2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm
8 C: ~4 _' j# E' \1 r3 u! c/ ~) Z可以查看所有上传的文件,匿名用户也可以上传文件。
3 ^+ S* R/ _; E' v3 @ 5 p% X$ {0 e% x9 \1 |
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm% g' `. n- @0 E8 C
可以查看cms的部分配置
5 C4 E. V* {: ]$ J! i 1 b0 m% T. O4 C
4. http://xxxx/hiwebcms/system/USER/userConfig.htm
: |7 u: W- S5 R, X查看数据库中部分表结构 g2 r4 K' p' f) L
" @: H5 j7 A5 ?7 }% m可以直接看到所有后台用户信息
! Y( ?9 E% d: u& X- D2 M8 y/ ~2 t% a% A) T% ?
3 @% a4 ?: v; Z
: B- k) ]& |1 U+ N' P: k% X! a可以查看所有上传的文件,匿名用户也可以上传文件。. h/ D" T- @0 A n& ~
& h7 k# ^0 ?5 M$ ^: `6 _
3 b, Q0 w2 E/ E# T5 ^) w
0 i0 b9 d8 C# Z, H6 g- I+ T) l: a3 g/ T1 r1 ^0 \
可以查看cms的部分配置2 Z7 A. F) i* a+ A0 s
5 O# X$ \6 O; @1 R9 p! V
" Y; e9 o5 K! b! d/ @9 j& Q
! a/ Q$ y+ o) ^ P9 E* B) D' `/ C% @: L( H8 r- p3 V
查看数据库中部分表结构- [, K" {& e' }# V
* A& i. |3 m6 r+ a |
发表于 2012-12-20 08:19:46
收藏
支持
反对