新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

5 z  W" `) U/ l) `% @( Y+ O详细说明：

以南开大学的为例:
* \" |7 M" s1 e6 k8 mhttp://222.30.60.3/NPELS
# ~/ ?3 o# N: o! t) ?+ @* R* cNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
: S" u, ~7 Z6 H<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
2 G/ a7 ~. ?: n! I+ I及版本号
, g( \; F, S' Q8 B/ M<add key="TVersion" value="1, 0, 0, 2187">
: F! Z" x1 v7 b7 l( U</add>
直接访问
& h* O3 O, Q7 B& V1 E# H2 lhttp://222.30.60.3/NPELS/CommonService.asmx
1 f( S0 [3 D5 p使用GetTestClientFileList操作，直接 HTTP GET 列目录：
/ X; F# K9 W. V4 H( D7 N7 I" uhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
6 [  {4 p8 @, h2 P, L0 b进一步列目录（返回的网页很大，可以直接 wget 下来）
) ?  A9 {' h- e* X, l5 chttp://222.30.60.3/NPELS/CommonS ... List?version=../../
7 T- x8 v+ M: a& q8 B* a
发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
2 L; \& e; r; x8 F$ t% m$ \上传后继续列目录找到木马地址直接访问即可

) ]( y& P( ~3 D9 p* Y! k7 g3 W8 d/ QOOXX

. S4 A5 U+ U, e; [4 Y% Y$ yGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：

列目录：
0 L5 k! M, _- @. phttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
( n! P/ A. k5 E; P5 e3 e" ?0 [
上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
  F1 Q4 M$ [9 R8 |5 `6 m2 i好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
3 W" d) \4 P6 A* x6 u- c/ C" |并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
( J3 U) X5 f+ F, L/ ]" r. e5 Y% L+ X' b