新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

2 p7 p" {6 t3 e- @6 E$ A* F详细说明：

以南开大学的为例:
http://222.30.60.3/NPELS
( f% q( t7 [2 e( B6 L% \( Q( ]NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
; _4 D3 [+ P4 q" E- [  P<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
! J* l8 `% `. T5 \' I2 u及版本号
3 W) N2 F  `1 N# y! z<add key="TVersion" value="1, 0, 0, 2187">
$ N1 U# F- Y; d0 U1 L8 s</add>
直接访问
# w3 h8 }4 A, V0 w) f3 Fhttp://222.30.60.3/NPELS/CommonService.asmx
) k9 O* B+ a) N8 ?使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
. A: ]6 `3 m/ i4 Y' W进一步列目录（返回的网页很大，可以直接 wget 下来）
/ c' A( Y4 Y' k7 shttp://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
  v, M& g$ H  a! b1 x3 Q  Uhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
" k% ^: O1 w% U2 W5 X上传后继续列目录找到木马地址直接访问即可

3 f. @+ f3 @( k0 ~: qOOXX

) g- [' I8 g- X9 V# M% ~Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
; y" D+ |+ i7 k$ C4 I( l漏洞证明：
, K+ [* p4 Q4 V% o5 j( w8 j
列目录：
/ D' T  H: D5 M, ehttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
; ~& M6 m2 w  g& V* ^: S( {4 T! C( ihttp://222.30.60.3/npelsv/editor/editor.htm
: C5 y: k% U0 Z; V. X' G" L8 p
9 k. }# q! P0 [" |7 _上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

6 O' Y. e7 N. }" l- Z$ U/ a修复方案：
好像考试系统必须使用 CommonService.asmx
1 t& [4 N) w% m: h9 s  n" ?3 e5 _最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
/ {3 e( D, y* p2 B0 {( J) V; @& L1 B