HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。
1 s& ]6 Z' [( U$ f, L/ t6 i. V) u3 r' P; Q4 M; d+ \
; V5 k1 o. }9 N N
1. http://xxxx/hiwebcms/system/USER/
3 V: C4 w' C3 e# h! m& _, U可以直接看到所有后台用户信息
) N/ C, g3 K, B& e8 W2 k+ ]. r
/ v+ o. c% T8 h& n1 N2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm
0 K4 X( c; v# M* l4 e7 g4 w; c! K可以查看所有上传的文件,匿名用户也可以上传文件。: k2 ]9 L: C# A2 K
0 y8 c+ P4 }; N: u4 Q* x
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm
3 Y* H- J& e J2 u# }* L; }可以查看cms的部分配置$ d, D, R2 C" L' d0 l
3 h9 E F! i6 B9 k4. http://xxxx/hiwebcms/system/USER/userConfig.htm! P: @2 p6 G7 ~5 l, q8 i
查看数据库中部分表结构$ a7 }* p2 ?4 c, [" F
1 `( p W0 ]7 l" w0 m/ Z
可以直接看到所有后台用户信息$ V A6 w7 q! S, X0 ?( z) @6 y7 S
3 D/ A' v, \( L: b8 r, G
# v# [" s7 D3 e- U- o0 C7 b7 ]
8 W0 a& `4 X+ B可以查看所有上传的文件,匿名用户也可以上传文件。
5 K; P6 E! O, x9 i1 K" k
7 O. V$ y8 Y; m5 V1 G+ g H
6 R, u; u; O% s' ?8 ~3 \$ S4 {. }7 \; ?3 N" A- d: x% {% W
, ^. w. C) L8 j+ h& y& C
可以查看cms的部分配置
g. |$ [9 A2 y0 z$ |! F7 A% ?" D) E- G/ v" I- U/ d. d3 N
1 K0 h. a$ X/ o+ x4 `$ s
/ ]# h" r ]; Y* r# M% O" k9 X/ X/ j+ _
查看数据库中部分表结构
3 }$ b3 T! ?! ~0 y4 |5 j @& N s- X2 h4 ]
|
发表于 2012-12-20 08:19:46
收藏
支持
反对