新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
7 h9 G' U& U* Y  W7 q! H
详细说明：

以南开大学的为例:
' \# G5 ^- s& E) j9 Vhttp://222.30.60.3/NPELS
1 S% N7 r/ q! {7 M' iNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
* {' N, F8 c4 p4 t' W/ g<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
, a2 d3 S4 M" j  N# o3 T</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
3 w  ^' I  L7 _" D! p( phttp://222.30.60.3/NPELS/CommonService.asmx
) J* w5 Q) T$ T; i: n  n使用GetTestClientFileList操作，直接 HTTP GET 列目录：
! \" }0 E' E) W0 K3 C% lhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
2 l! f: A( w# Z* Khttp://222.30.60.3/NPELS/CommonS ... List?version=../../

1 V6 G  [6 @% O& Y发现
% v$ y. x* r4 U& _" Q1 ehttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
5 A7 H" ^6 k- |/ E0 ~; ^可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可

OOXX

, n1 r& c( H0 c, jGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：

4 S3 j1 u6 c% R& o" H' p* E列目录：
6 {7 r! ?" I# i; h- U8 L3 o6 v2 r7 z: Shttp://222.30.60.3/NPELS/CommonS ... List?version=../../
5 L& b& q5 k$ `/ }* U文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

$ R3 N1 ]! H. k" j修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
% b( t2 X: T6 ?# G