找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2098|回复: 0
打印 上一主题 下一主题

hiweb cms后台多出权限绕过

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-20 08:19:46 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。
- W9 v5 T$ d. [( q7 c
# f4 C2 f6 j$ r7 W! `1 x1 H$ R 3 z( J3 ]4 @1 a7 R. L# \+ ~
1. http://xxxx/hiwebcms/system/USER/
/ ]! m, r! W3 L+ D+ k! E6 i" e4 A可以直接看到所有后台用户信息1 @7 Y/ @% [+ g
' `9 b) X; z6 S5 Y
2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm: F+ [6 G6 O) F- j$ B
可以查看所有上传的文件,匿名用户也可以上传文件。
- u9 z$ x( Q& M# `' A & a5 u7 [! P1 N6 r& w
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm
8 `( u& n4 u4 V! T- `可以查看cms的部分配置2 `$ R+ Z  H" b  O* n7 U" M6 ^

" J7 D3 ~1 I" A# A) a: ^; u4. http://xxxx/hiwebcms/system/USER/userConfig.htm
6 s$ R+ s+ B1 n查看数据库中部分表结构) Y1 z' ?8 ]3 O% D
" N; u# S( t3 f7 S5 q3 h: r8 U- O( Q
可以直接看到所有后台用户信息
8 }+ E+ O) `  Y6 `& j" w
6 I$ n- m. B# K. _/ R: w. W, e! P6 N0 k, ^; v" k5 }
5 p0 ?2 q) w9 R! p( c! t
可以查看所有上传的文件,匿名用户也可以上传文件。
1 x% m0 Y3 k" l; Y2 E& ]% \
5 a, Z2 W9 g. y0 r4 o$ Z( A5 P; h$ g, x" ^8 c9 l9 A1 m

6 c( }1 q6 }+ ~* `7 u; T3 u* Q5 ]9 B5 t- o  q, _# q( U2 @
可以查看cms的部分配置' u4 k/ ~7 ]( ~" S

% B$ x" `' @+ V/ n" W  n4 a# i5 j" k6 z9 S6 W

+ N# g7 S- R/ V: U/ H
/ G2 y# |* W. `2 [! A! f查看数据库中部分表结构2 u! b4 e7 K+ x6 ?
7 `3 m6 J. p& w0 u  o
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表