HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。
" f8 } ?5 g' s
' } f: y% H: n# B7 r& D$ H) q
$ u& {9 W. ^2 E" p/ T; g- T, ~1. http://xxxx/hiwebcms/system/USER/8 g0 V" }+ s5 O- `( H
可以直接看到所有后台用户信息" r O) F5 d' O5 j
: D. O4 V. e6 k# h! f) B2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm
; R; }* r, {* k3 l1 p可以查看所有上传的文件,匿名用户也可以上传文件。
9 i0 J/ F- A8 \! P7 N
0 X+ {! _$ ~6 @3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm
% v5 J. c# n/ T/ ]6 ]$ o# c可以查看cms的部分配置- S! i2 P. k5 F% ^, }; l+ V
1 f3 \! J7 l5 [ |9 x* k; ]9 }4 V
4. http://xxxx/hiwebcms/system/USER/userConfig.htm* |* C, p8 {9 y& M
查看数据库中部分表结构/ K$ B* o# B- G0 }, @7 E! o$ V
( ^0 A2 m( v0 `' F. w Z' I& D: B
可以直接看到所有后台用户信息
5 f2 J2 |6 ?. V$ D f+ ?1 C, o) W. w) i' o$ o- H
" r3 w% W' ~0 \9 L x, t0 B) c' r9 ]* ]% ~
可以查看所有上传的文件,匿名用户也可以上传文件。
7 h' p, I3 e7 S
' I4 w1 I: Y; q2 _' {# W% \( U5 W1 F2 C2 b
* M, E: C; {1 V3 d, x' g
1 e. i9 x9 R0 z; H1 }
可以查看cms的部分配置
6 c. K7 M- ~: H
, ? g& I. v% b; _7 f5 N" L7 Y0 a8 z2 ?. O' m6 J4 U
# g) T* U# p" E+ z* @* P
T$ @4 t9 B3 q d) v$ A查看数据库中部分表结构" J. ?3 m ]" c
+ Z, h# n* b1 R3 H5 V( ^9 g9 X
|
发表于 2012-12-20 08:19:46
收藏
支持
反对