新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
+ n/ M1 _2 H. d" U
详细说明：

$ i& v1 f4 D2 p3 Y1 o/ [& B% U以南开大学的为例:
+ v' W  B* q/ i# Z3 i) k! xhttp://222.30.60.3/NPELS
- k3 e) O3 A, i) A3 b9 E% K+ {NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
# X! F  J; |+ T) u+ I5 s<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
( q- p' P) P7 D* g( c1 D</setting>
及版本号
/ s6 k. u) L( e: q& P<add key="TVersion" value="1, 0, 0, 2187">
3 |3 X* Q$ e+ T3 |# A/ W</add>
$ u+ G4 s$ @+ z+ F1 b- k直接访问
) i  t" M0 K  O# E7 r$ H& n. Phttp://222.30.60.3/NPELS/CommonService.asmx
5 P( W1 f  G6 I) |使用GetTestClientFileList操作，直接 HTTP GET 列目录：
4 s0 u, l% e6 f; @; I: w) B7 Whttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
/ ~9 o1 x* N. i
发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
- w( @1 z& c! {7 H/ j" J可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
/ l7 L3 H  O3 _7 Y% k* I上传后继续列目录找到木马地址直接访问即可

. f9 O9 H* x5 F+ t% \OOXX
4 [+ r/ @/ R) A8 g1 J
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
( t1 N0 N) z5 j9 h
5 U8 a1 a+ T! D" F6 b6 e4 I列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
7 Y$ F% e" P1 p  K* ~; K文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
3 G# c. G( [' }$ s- C  o1 n. ]
上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
, j+ l, W5 y) e' Q7 ?( D
修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
" i1 [' z$ i+ b0 K