新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

' A+ L" F, `: K' ]5 _. x3 Z, A详细说明：
$ @+ z1 o6 E2 `  Z+ W* |
7 u8 Z- [" \$ X' V( v2 G以南开大学的为例:
http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
5 r( X5 ^/ L9 ?, chttp://222.30.60.3/NPELS/CommonService.asmx
  q+ Z8 ], i% H% n2 h使用GetTestClientFileList操作，直接 HTTP GET 列目录：
) i5 o+ q" ~) N5 shttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
% \, U/ q' }1 F# m' W0 r% bhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
  S& o* Q7 B8 A5 ~" B4 d7 A! Q& _
发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
* ^! c5 j- t% i5 S可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
% B' f# J) `, n6 ^
OOXX
% z) `* I$ ]/ A# ]2 |  Y
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
' n) G: g1 k0 ]! ?) g: n漏洞证明：
. d4 Q% Y; {! ~
; f6 I6 V# n% G" T/ @* t列目录：
2 z# L) q  v: K; `8 w9 |7 khttp://222.30.60.3/NPELS/CommonS ... List?version=../../
: }! @& j9 W% x' V9 u: S文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

+ c1 A4 j; m( W4 `+ _上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

+ X/ o6 S1 K0 y+ ~1 W修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
8 z0 a- x, Z( y+ z并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​