发现HDwiki 挺可怕的一处逻辑漏洞，管理员可以直接添加一个超级管理员账号，而超级管理员具有后台文件管理和数据库管理的权限…

如图，用户demo头衔为管理员：

添加用户时，有超级管理员选项：

可怕的是居然可以添加成功：

添加成功后：

这样管理员账号轻易的取得了超级管理员的权限，然后就可以直接在后台进行文件和数据库操作：

数据库备份操作：

运行SQL语句：

SQL语句执行结果：

最后就是比较蛋疼的文件操作了：

这上传一个webshell不是轻轻松松的事情么 /fd/ ，接下来，sql语句还算个什么呢？config.php直接曝光了。。

然后大神们可以由此出发做很多事情吧…

这权限逻辑，略恐怖，惊出我一身冷汗，立即去把自己管理的几个站点的管理员和多余的超级管理员下掉，最揪心的，其实还是那个文件管理，搞不好服务器就因为它完全沦陷了，于是果断去delete了control目录下的admin_fileftpmanage.php和admin_filemanager.php以及admin_db.php文件。

权限管理，HDwiki还得学学Discuz，Discuz的权限和安全设置比较成熟，下面是Discuz的配置文件选项：

$_config['admincp']['forcesecques'] = 1;// 管理人员必须设置安全提问才能进入系统设置 0=否, 1=是[安全]
$_config['admincp']['checkip'] = 1;    // 后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。
//仅在管理员无法登陆后台时设置 0。
$_config['admincp']['runquery']    = 0;    // 是否允许后台运行 SQL 语句 1=是 0=否[安全]
$_config['admincp']['dbimport']    = 0;        // 是否允许后台恢复论坛数据  1=是 0=否[安全]

用HDwiki做站的朋友们注意一下权限的设置吧~尽量不要设置管理员这个用户组。