新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
4 P/ X6 a/ B/ h* @* X( g
" n/ ]5 c- H% D% k( N以南开大学的为例:
http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
0 t9 h. g: o7 c% _: R</setting>
5 I& A" }. Z* v/ W: _7 ^+ H5 c1 l及版本号
& Y" m1 L: |/ S6 d1 F<add key="TVersion" value="1, 0, 0, 2187">
) s; ?) E( m: O0 e7 c$ j" d</add>
0 ~$ _; P$ `+ J" a$ `  a1 j直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
1 i2 I9 n& S% a% `: p+ Ihttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../

7 C+ d8 A% }/ R/ D" ?7 m发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
7 Y8 Y% l. G$ A4 _& l
7 M4 J/ F  s$ I3 x" e0 {OOXX
7 n2 o0 j, `+ k# s( m
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
! F2 K2 Z  w: d$ A9 @: \! d9 ?
列目录：
0 m3 [% I- D# c/ V  c; n, Z" g% ihttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

- V  d' V$ j6 M& J6 I4 ?7 `( a上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

  H7 u; P& p9 N" p" F( p修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
+ _. ]8 k) p' [7 ?! y/ |并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
# P9 d1 i" ^$ E2 A. T" ]