新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
5 X% `5 H; \5 U3 D) J' \  F
; d+ ^% E" k4 `  z* j0 s以南开大学的为例:
8 f' Y% a% q* t  a# U! Nhttp://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
. U1 A: q# D1 \# h  h- m! n6 h<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
' K% t8 L4 z5 T8 y/ S1 U( R. I</setting>
6 C" o7 C$ o& ^% m及版本号
& {+ x# [& |# D2 ]* y1 s5 x<add key="TVersion" value="1, 0, 0, 2187">
</add>
9 X1 x5 J! c( K* l7 F9 B& x直接访问
. Z) x( B- ?7 Uhttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
0 y& ?* r$ w- N& G' Hhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
) E" `4 e7 F$ K: e4 W进一步列目录（返回的网页很大，可以直接 wget 下来）
1 X$ J( e- Z1 o  n2 Q1 Thttp://222.30.60.3/NPELS/CommonS ... List?version=../../
3 m4 p  C/ x. l5 k  w* ^
发现
9 \, Z* R# Y% d2 x/ hhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
1 F* k6 H! w+ I3 x/ P' B7 V# s可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
) g& W7 W" a( p( p0 _上传后继续列目录找到木马地址直接访问即可

' u6 o6 D# N' m% F% S* C8 IOOXX
. t. `2 U6 ^$ C3 o! Y$ j2 L
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
+ ]$ W4 z" W/ t
列目录：
% P, o. J# a: A! q- n% Phttp://222.30.60.3/NPELS/CommonS ... List?version=../../
& \+ r$ f1 P$ y, z7 M  h文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
/ o- H2 ]1 K+ X/ w4 ]2 Q
1 Z( v) _; ?1 O  x+ k; Q3 v上传木马：
6 I( J/ r+ H* [5 |http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
0 ]8 s7 p; }9 T并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
' p+ M: p8 \( E0 x