HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。 U- R1 @' _ ?( o& G: }' C, _
. v; f' p- A% h7 X% r
9 v6 B" A* y6 w3 L1. http://xxxx/hiwebcms/system/USER/: V( X, |: Z0 a2 G1 z3 K! ?: L, B
可以直接看到所有后台用户信息
/ i: ~. C2 H) I" O; l : b9 A B0 V3 T; R% Y, Q5 \
2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm
. ]: r2 u& y" G0 Q( D5 E可以查看所有上传的文件,匿名用户也可以上传文件。
" V- Q3 C7 p. j6 e 9 r s* l" c* r/ J0 e5 l
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm3 Q6 y* W3 J/ ~0 e6 s2 i+ B9 M6 F4 J
可以查看cms的部分配置5 K- Z% t) }2 ~% [ a
1 E0 k) g; z6 _- J; q
4. http://xxxx/hiwebcms/system/USER/userConfig.htm$ r; F" F; [5 E4 R* N' H
查看数据库中部分表结构
, x' L: ]& x* |7 W9 K7 \
( K8 @4 }. x; s1 L$ R/ c6 E, I可以直接看到所有后台用户信息
2 m8 \( Q& @- Z5 z- ^( g
: k( l5 P( C8 a( @# V0 Z
% w- J$ h9 |; w8 m! p0 {2 [4 k
5 {9 c( Z8 V( c K可以查看所有上传的文件,匿名用户也可以上传文件。* c) a/ }, y2 N, a) P V- C
) j# M% [) P7 C e' [: E% Q4 C/ Y
6 o# E' ~4 U7 l, G" C2 q, Y3 M
可以查看cms的部分配置: L+ `, V0 O3 |
; S3 ~& Z, V/ ^5 I* Q! _0 N" p( z) E" r4 @9 j
' K+ w3 a; w6 N3 }2 B% \
" C; O; _& g, `4 v* C7 ]$ Y查看数据库中部分表结构
7 x4 M1 B- T1 ~6 S+ G
2 i' z; l2 R# h; m. i: E- n2 e |
发表于 2012-12-20 08:19:46
收藏
支持
反对