HDwiki管理员可以直接添加超级管理员引发的问题

发现HDwiki 挺可怕的一处逻辑漏洞,管理员可以直接添加一个超级管理员账号,而超级管理员具有后台文件管理和数据库管理的权限…

如图,用户demo头衔为管理员:

HDwiki权限漏洞

添加用户时,有超级管理员选项:

HDwiki权限漏洞

可怕的是居然可以添加成功:

HDwiki权限漏洞

添加成功后:

HDwiki权限漏洞

这样管理员账号轻易的取得了超级管理员的权限,然后就可以直接在后台进行文件和数据库操作:

数据库备份操作:

HDwiki后台操作数据库

运行SQL语句:

HDwiki后台运行SQL语句

SQL语句执行结果:

HDwiki后台运行SQL语句

最后就是比较蛋疼的文件操作了:

HDwiki后台文件操作

这上传一个webshell不是轻轻松松的事情么 /fd/ ,接下来,sql语句还算个什么呢?config.php直接曝光了。。

HDwiki后台文件操作

然后大神们可以由此出发做很多事情吧…

这权限逻辑,略恐怖,惊出我一身冷汗,立即去把自己管理的几个站点的管理员和多余的超级管理员下掉,最揪心的,其实还是那个文件管理,搞不好服务器就因为它完全沦陷了,于是果断去delete了control目录下的admin_fileftpmanage.php和admin_filemanager.php以及admin_db.php文件。

权限管理,HDwiki还得学学Discuz,Discuz的权限和安全设置比较成熟,下面是Discuz的配置文件选项:

用HDwiki做站的朋友们注意一下权限的设置吧~尽量不要设置管理员这个用户组。

5 thoughts on “HDwiki管理员可以直接添加超级管理员引发的问题

回复 budblack 取消回复

您的电子邮箱地址不会被公开。 必填项已用*标注