HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。
1 F( M/ S! [5 L' M
t7 |* v! x) j$ l# \ 1 G! P9 |5 {. r6 `% g# Q
1. http://xxxx/hiwebcms/system/USER/
& s$ ]3 g$ A2 {- {4 a: A0 u: n7 T可以直接看到所有后台用户信息
) Z9 h+ h5 w) S4 Q+ s0 u, l
! C' m' @/ F- _1 R3 X! k2 e- m! i2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm: P! i* @4 D, j3 Q: |- r
可以查看所有上传的文件,匿名用户也可以上传文件。) J& r( v. c) e5 u; X( `
. [* K1 W( \) X
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm" b, F V7 J% y8 p
可以查看cms的部分配置) P6 V$ Z. e, K0 n( n
3 V2 V6 y# f9 q& F8 g' U4. http://xxxx/hiwebcms/system/USER/userConfig.htm* E! i! [' Y6 G# m
查看数据库中部分表结构- f% D Z. c* x* s
* ?; r" X, R! h& U3 r/ v可以直接看到所有后台用户信息
3 H" ]. W0 |* r1 Z$ E/ ]- `
9 u* |" Q+ v& J/ m! Z. \2 J" q& H R& {, g4 ~% b
S7 N5 V6 _$ r' h$ \" O* R1 O4 h
可以查看所有上传的文件,匿名用户也可以上传文件。
3 \3 @9 Z h) {
& T$ A/ b' c9 u5 @9 G) ?; [$ ^7 r$ ~
: H2 a' L2 J; Q- C& w) e8 {" s) g
/ D* s8 v# A' [. l5 b9 A
可以查看cms的部分配置
+ ~( L/ E6 l+ A7 r. f/ B" V; m
b$ j8 j: u4 u4 @& n2 r3 \8 i3 W5 |+ g3 N! ~6 J* f! ^
* e' m' z; A$ g8 l
' x1 |0 v+ [! D' A- Y' ~
查看数据库中部分表结构
4 ]6 @& S9 [+ Q7 F
: r9 Y0 r$ s) P) X# D7 Q. g7 y |
发表于 2012-12-20 08:19:46
收藏
分享
支持
反对