HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。
y# P- K5 }4 K* D: [9 G( H! i. D) T7 s6 U1 n, ~$ |9 ?1 j
4 i, A) k* L- T; L' @1. http://xxxx/hiwebcms/system/USER/
6 o6 j6 v- j; }" U可以直接看到所有后台用户信息. B# k! c4 d0 Y" j1 Q
- F) O# u( G7 r1 x' h: d2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm4 y6 C/ U& D/ R' C, ?8 {
可以查看所有上传的文件,匿名用户也可以上传文件。( n3 f9 R* |9 y. O6 _6 j5 I( N
5 F1 l( E4 @$ O, B3 Q
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm- o5 |, L4 S3 `& e, q- `
可以查看cms的部分配置3 G! k- W3 \5 F
; t- C% L r6 m; ?- T5 T8 b0 H
4. http://xxxx/hiwebcms/system/USER/userConfig.htm
$ [" |8 S- H, `( V8 W查看数据库中部分表结构
! P" z" ?- B0 S5 B % D4 u$ o7 t$ S' F5 k
可以直接看到所有后台用户信息2 \, v5 |+ y% o/ I5 g I6 E
: z2 C1 c5 p* e' ]9 W
6 ~/ A2 f* ^6 h6 A, d2 I, o. w2 D' B, n& z8 H
可以查看所有上传的文件,匿名用户也可以上传文件。
/ I8 @! [% I! d. s- W) Y" g, E7 X2 ~# O( Q
2 e* J2 P6 y \
$ v1 W' V4 h) B- w
/ D j; T% x) g7 u ]可以查看cms的部分配置" S! a: S) Z% \3 b4 H
, z3 Q6 \) s0 i9 w) _/ A
/ s& Y0 S5 A, v" I* C
6 w" b. i' ^+ O& ^/ K, h8 J2 E: v% U H( ~! s
查看数据库中部分表结构
( i M* Z, S) G5 e H0 x
# w4 f9 ?6 e1 O |
发表于 2012-12-20 08:19:46
收藏
支持
反对