新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
/ g) A' Z: P' I/ `
! _7 ~( y4 ?3 ?; b以南开大学的为例:
http://222.30.60.3/NPELS
4 y  L/ ^) B, n! s# D: J' sNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
" V3 Q8 Y: M1 g9 q) S3 ^6 B<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
, F' C# g& L/ Q+ a5 N: O及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
/ m. k' n% g& O( H直接访问
http://222.30.60.3/NPELS/CommonService.asmx
4 B: }8 i" T" ?1 V使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
  K+ [4 p0 x  A: {! `! f1 j' u
! h* O9 r* S7 _+ y" f( t发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
+ [1 h8 e( q* o3 N/ `2 Z上传后继续列目录找到木马地址直接访问即可

OOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：

8 Q: W7 b1 w/ h- a% w/ C列目录：
7 I, F( P' ?/ ]) G7 q' {4 jhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
: w  p( v0 }! \
0 b8 G3 X7 ]( R" {8 {8 M3 L上传木马：
% i, ^+ K5 q# H( hhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

9 n# T7 t% W, {8 I( A8 r修复方案：
# U+ T2 v* {. J/ K( ]# @# t! l好像考试系统必须使用 CommonService.asmx
) z5 V2 y, T# w+ W6 W3 Z最好配置文件加密或者用别的方式不让它泄露出来
: j6 R1 @, f4 t) a7 [' ?# p并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
7 J& u- E" x  K% ^# J8 x