HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。( |9 l! t+ g& P0 B" h
* Z N1 [, B% n$ V
2 d( I$ R2 Y8 m6 N1. http://xxxx/hiwebcms/system/USER/
1 b% [* r3 X" o& T: k4 J# \可以直接看到所有后台用户信息
* g( {0 s: L1 R2 n( w 6 f. f K& w# V( Q! T
2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm0 E; Z, R( E" V
可以查看所有上传的文件,匿名用户也可以上传文件。
* D% C! S( ^9 Q: K: x * S( ^# L- }8 K9 {
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm/ e) q1 o2 o0 A# s A+ r. y ~
可以查看cms的部分配置* L& z M; |% O0 W7 K, N7 y# V
+ t7 n' F x) o) K4. http://xxxx/hiwebcms/system/USER/userConfig.htm; [3 k: }4 E# A+ X( x
查看数据库中部分表结构
1 U3 h# J W" l* N5 X0 r8 K1 @* M / e/ J, Z1 j( E
可以直接看到所有后台用户信息
j0 N$ ^& O! s. f% R$ R5 n. W0 W0 c# h; f3 B2 s" r: ]/ s) T
9 ^2 C1 K$ h l3 m" }, |
7 T' Y& I: V B3 K
可以查看所有上传的文件,匿名用户也可以上传文件。
9 X! m& c2 @1 [5 D5 g( T. `: S) h# J' V4 f: b: ]; n
7 e/ v4 C* n6 {! l; V
. N/ @8 b7 e5 k) y) B" Y. f* V6 e& o$ g) m* |+ L& R
可以查看cms的部分配置
# {5 B0 |+ ~1 b- _2 I, H/ q) r
; u2 B* ` N) W. m, `
) L4 L+ i; y; }- X
) _, N$ o& t) n2 @; l- ~5 x0 A- y9 X, h! K% s, l
查看数据库中部分表结构
. d; c4 `; q% G( A i! U% m- y" G1 z% U6 F- N, d0 C
|
发表于 2012-12-20 08:19:46
收藏
支持
反对