HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。0 n. S4 h: k" `) u* \4 r/ W
( i# D% v7 ~2 M6 A+ z1 K8 D4 T
1 e, W$ W) V$ v$ m, I
1. http://xxxx/hiwebcms/system/USER/
; p6 D& u; F* z可以直接看到所有后台用户信息& n% }) x3 z% x/ L3 b
' H9 q! J8 w3 d2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm
; a' E- i! B4 q6 {$ u0 ~% ^可以查看所有上传的文件,匿名用户也可以上传文件。" [, |: ~' s, n" Z
" h- Z7 p7 I- G/ ?& p+ F5 L
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm
! u/ U% c9 A) e/ t8 G' L* @% M7 k可以查看cms的部分配置
: S6 D( z5 [1 K" r
8 D8 _/ ]$ m2 u/ T2 T# L8 p4. http://xxxx/hiwebcms/system/USER/userConfig.htm
6 w5 o3 o4 m G- `; m查看数据库中部分表结构
! J( ~0 y0 E3 R7 ]. X$ X 8 W" [: p( ?% \! E- ?
可以直接看到所有后台用户信息
2 j# C9 V3 b3 h: E4 u, U& a
: @& j8 o- K6 ]" p3 n5 C) `; g- k* C" z8 U T s# E8 P9 O+ R! d
5 w9 a: |& n) W4 _6 |1 i可以查看所有上传的文件,匿名用户也可以上传文件。8 G8 V3 v5 @* g0 W
3 A+ d7 [0 k' N% V) l/ [* K5 j: o% M+ E8 j; H: a3 E; K# H
2 E8 y9 T* E6 I0 h: |
- q( t. M" b+ D$ k+ s
可以查看cms的部分配置' X1 Y6 T4 Y( P7 h+ |2 K
E0 f, j% _, m& d; n2 Z/ m. v: S
9 |" Q+ ~! q6 @; v8 H6 N% a
# b2 F; f3 P& Z$ [4 h/ d5 l3 {# h& l) D
查看数据库中部分表结构* K/ z Z3 L) y; F: v9 s
) M$ k, A2 x0 R. u4 \8 u: q+ C0 I
|
发表于 2012-12-20 08:19:46
收藏
分享
支持
反对