中国网络渗透测试联盟

标题: 新理念外语网络教学平台文件上传漏洞 [打印本页]

---

作者: admin    时间: 2012-12-4 11:10
标题: 新理念外语网络教学平台文件上传漏洞
好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

& A2 G# Q9 g( E5 r( ^4 S7 O详细说明：
+ Y$ v5 a$ p! |2 G3 D; z
以南开大学的为例:
http://222.30.60.3/NPELS
0 X1 S  |) I. w: F$ S; ]! ], s& ^+ {NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
9 H% w3 j: r1 B5 d3 S<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
) g! H- U/ |7 w. Z! k5 U: r</setting>
! e; u3 G: b- E及版本号
<add key="TVersion" value="1, 0, 0, 2187">
8 b/ _, s. F+ j1 K</add>
' c" W4 L7 `8 q7 `直接访问
" V/ Q8 j1 s; d# m* n- ghttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
7 R  q- y; ~9 ohttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
# L* n7 C, F" \8 `! [http://222.30.60.3/NPELS/CommonS ... List?version=../../
' S8 `5 X) }) V$ r, s1 y! D  K' n
发现
& T  U( n7 ]8 l* X. J3 \3 F3 G2 f& ]http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
( B9 U: u2 r6 q' g. [上传后继续列目录找到木马地址直接访问即可
$ b2 v2 T& N: H: i  y* ~
OOXX
, X4 y" i* e3 o; _
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
) V5 z' B, C6 \* \: a# t漏洞证明：

列目录：
; a, x+ l- I9 G" F$ Z9 h* mhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
5 Y% W+ i$ V: I4 C文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

2 {: d; G1 q/ g上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
好像考试系统必须使用 CommonService.asmx
  C& @1 z# X) F1 m最好配置文件加密或者用别的方式不让它泄露出来
! F& s$ q/ [( Z9 ~并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2