找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2594|回复: 0
打印 上一主题 下一主题

新理念外语网络教学平台文件上传漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-4 11:10:29 | 显示全部楼层 回帖奖励 |倒序浏览 |阅读模式
好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中
7 r, y  v- }" p- m: u! B' l0 }7 w) K% h. `  ]& z
详细说明:9 I( i' ~1 u  f6 ^, t4 f
) Y" H" M  A8 n2 q* n% S
以南开大学的为例:
: U! G7 z  ]( z% k4 t; Khttp://222.30.60.3/NPELS
; w! q' V' m! {% {9 l2 \8 WNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址, C- p0 |6 s- y) L) |3 F
<setting name="Update_CommonSvr_CommonService" serializeAs="String">6 A; h! I" o+ T5 p+ _3 L
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>* W# N/ U- C, O8 I9 a. x, u) B6 Q( N( C
</setting>
) u6 @- i" N2 B7 u! s及版本号% G* C/ U5 k) T- [* ~: L+ `5 y7 l
<add key="TVersion" value="1, 0, 0, 2187">% \' f/ {& V: d; L4 @
</add>4 |: E9 x8 ]' y
直接访问
' s3 S+ u- F! D3 nhttp://222.30.60.3/NPELS/CommonService.asmx
7 Y" u9 M* G8 w. b) y使用GetTestClientFileList操作,直接 HTTP GET 列目录:- |+ V' p- S9 s( ?1 n0 V
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187) k* N; r: [5 a' r0 b4 f
进一步列目录(返回的网页很大,可以直接 wget 下来)
8 z1 \8 N# R7 L2 mhttp://222.30.60.3/NPELS/CommonS ... List?version=../../' e6 z. O7 X& F0 u" m
' T6 p5 M% V+ l  s
发现  D0 v/ B. u5 M. Z# }. ]. @- m1 [/ U
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm# D9 K8 q# R$ T% b1 ^: U
可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头
) H  \- Z: V2 J" f上传后继续列目录找到木马地址直接访问即可- C% u. b8 R2 K, U

+ N6 c4 r3 J' g. A! yOOXX! k% n2 A- E  |5 N

* S- T3 ?/ n( i7 JGoogle "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法# P0 _% X: b1 U) {& N
漏洞证明:
* g) T" n3 t, `& U, e
) v' R( H0 F) V列目录:
4 P4 u" u  b- l# Zhttp://222.30.60.3/NPELS/CommonS ... List?version=../../. E3 M# Y" j5 ]; m) S
文件上传:
7 ~. n' G9 B' k( R* D3 Nhttp://222.30.60.3/npelsv/editor/editor.htm. E) U/ g5 I& p0 R) d

1 b" ]7 R; u; J) @+ p1 h上传木马:* @5 [0 M8 z# E: t
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
$ A8 V+ k3 Q  A4 ]0 M) t( t$ [8 o3 e   `( D+ ~5 k; X" z5 j! D9 s
修复方案:( O% g& U7 ?/ ]8 B7 J# x0 I) G
好像考试系统必须使用 CommonService.asmx8 |  F7 O$ z6 v+ Q/ a5 `
最好配置文件加密或者用别的方式不让它泄露出来
5 a7 ~% e% ^6 R' p; Q5 {并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样​
- O+ E) s- x8 M8 p
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表