新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

: A  u" t2 b+ ]$ q详细说明：

以南开大学的为例:
http://222.30.60.3/NPELS
( t: g3 t- D8 V+ C7 t# p  BNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
及版本号
: Q" B$ b4 |; T3 j* j* a( h) E<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
% T! f# p# K* {, F: g/ ehttp://222.30.60.3/NPELS/CommonService.asmx
- w+ q- `4 `# Y! X" B使用GetTestClientFileList操作，直接 HTTP GET 列目录：
! |; }  i' H6 @% l: l" d; Whttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
% o; K1 p  J& Q' N( G8 L& S
$ }9 w8 e( y' `: _发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
% {, H( ?- B+ w3 p$ n2 N6 h% S
OOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：

列目录：
$ ^& s0 v  @% zhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
# w0 n4 j% o1 {文件上传：
% V! O* A8 Z; ]+ S" z# ?http://222.30.60.3/npelsv/editor/editor.htm

上传木马：
3 o- L- Z. q, A: G5 Z7 N3 J. dhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
0 }. |# t& x) R1 J! J% \
2 O/ I, d# m1 }4 v修复方案：
2 _; r- U# Z9 H' F3 }6 @好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
9 b! |, V0 D+ _; Z5 |2 N( [