找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2087|回复: 0
打印 上一主题 下一主题

hiweb cms后台多出权限绕过

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-20 08:19:46 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。
5 ?3 X. |7 ^+ r* F, c
  F+ Y0 |2 B6 V
+ O* z4 \! N( H: m7 z1. http://xxxx/hiwebcms/system/USER/
& x& S! r3 F' N, u) ]2 b$ U7 {4 |可以直接看到所有后台用户信息
5 E0 J$ T  L' a6 g2 `: Q* r
& r9 k6 [* x9 O9 \5 ^. }; ]2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm
3 ]8 H! J& I5 y' I, m1 L# w可以查看所有上传的文件,匿名用户也可以上传文件。8 o' k" o$ T. C- R1 A% M
6 y" g0 R7 K; i: t/ x+ h2 M
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm" N7 U8 D) ~  `" l: J' X: a
可以查看cms的部分配置
1 b8 g1 r- \9 k: h  R
2 D. m1 C( e7 z' J# X' X4. http://xxxx/hiwebcms/system/USER/userConfig.htm1 g  G% v8 F2 G' W- Z
查看数据库中部分表结构( x4 {7 D1 L1 r' R, w7 ?

, j- p& ]7 Y- v+ v4 ?* a) Q可以直接看到所有后台用户信息, Z5 T1 M, T* A6 x4 ]# n; Q; |# v

+ H3 d, S- T. m# e9 T: W9 S- \; y: b! S, W& z8 I( l2 l$ b5 W# u

( [- y. {9 p) ?+ a& }5 I8 R可以查看所有上传的文件,匿名用户也可以上传文件。
8 D9 K) Y0 }9 u9 p4 R4 f( s$ |1 Q2 g1 [0 X2 V8 `
& G7 G3 u& [9 C. @  |- D
8 `, l2 A  w* t. L" B
: l6 M2 g1 V( X" D4 x
可以查看cms的部分配置  J1 C+ @( f8 P: w! [
+ [, W4 [/ K, r, g8 b% U/ L4 k
/ c9 g* \  I; G6 }
9 x1 U# z8 @+ ?1 r
% C7 s; b/ r- J9 q3 ]8 s
查看数据库中部分表结构
' ?' k$ X" m8 E8 V! M: o5 b3 J" y$ p& o* l
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表