HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。3 h/ g$ e& @: E8 L: @
9 ~. i' ?6 y4 S; W
! K! z' O' p* J8 C. e* S+ y1. http://xxxx/hiwebcms/system/USER/
0 U& P' ?* K: H$ ~可以直接看到所有后台用户信息
/ o: z Q' x! [8 r% \/ J * X$ i+ D% P8 D, T# Q
2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm- O! x; d" Z) O! g# K
可以查看所有上传的文件,匿名用户也可以上传文件。
$ g6 _; v0 N8 j4 O2 ]# g% k
9 W+ t+ S+ T2 y) Z2 Y3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm2 U- z+ j f% @( o* L. z1 l
可以查看cms的部分配置+ O! t0 Q7 P% F* Z& f. r8 }
. o) U, H8 ~+ L. X0 c! X# z
4. http://xxxx/hiwebcms/system/USER/userConfig.htm
3 c! x- y% L/ g% j+ a查看数据库中部分表结构
: c; g( [ i r5 N9 t9 \ 1 Y( B) P. r5 |4 B7 l( U' z
可以直接看到所有后台用户信息- H/ c$ w; D* {$ T4 M7 {
3 q1 K8 s; j, u! Q! V4 t9 D0 T6 K$ a8 S
9 S/ R! N8 u5 Y" `; q: r* d
可以查看所有上传的文件,匿名用户也可以上传文件。
0 L4 n7 a& s4 W8 J5 Z
* p, c: V) R( n" p, G
2 m$ R) C0 i4 r& g) a9 t& @3 B b$ a6 @! N! O, A7 {6 t' n
; x, O0 r7 ^+ e6 ]; t) f可以查看cms的部分配置. }& D; E3 ^ k+ r1 C
- ]- I9 R1 ^( b9 |# A, L& f+ [4 D) r) _2 `. O3 \' a
' @6 l- F; k9 l6 R6 X. b
: t5 f3 X! T; [9 f查看数据库中部分表结构3 @! D2 ^& `9 V" v
) j+ d- o% }7 }3 n1 g |
发表于 2012-12-20 08:19:46
收藏
支持
反对