hiweb cms后台多出权限绕过
HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。1. http://xxxx/hiwebcms/system/USER/
可以直接看到所有后台用户信息
2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm
可以查看所有上传的文件,匿名用户也可以上传文件。
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm
可以查看cms的部分配置
4. http://xxxx/hiwebcms/system/USER/userConfig.htm
查看数据库中部分表结构
可以直接看到所有后台用户信息
可以查看所有上传的文件,匿名用户也可以上传文件。
可以查看cms的部分配置
查看数据库中部分表结构
页:
[1]