新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
8 G- Z5 U5 ~+ x+ W1 x+ M; h+ V
: }, H- S4 s7 K6 Q) B详细说明：
) x. {/ B0 b5 b# c8 k- |5 Z. W, y
- k5 w3 j8 _8 W9 C以南开大学的为例:
% i  m2 V# t! q0 p% \3 Q/ U/ J- ^http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
  H( k9 s; C6 i6 q" h* l& L<setting name="Update_CommonSvr_CommonService" serializeAs="String">
* m9 }4 D  a2 L1 d- V1 `* H<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
5 k- q/ [% g8 S1 e0 S- I</setting>
0 S$ `0 Z$ V& s" G6 h3 h及版本号
<add key="TVersion" value="1, 0, 0, 2187">
: l0 q+ c) m/ a9 q* [</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
* J+ A, P7 i% T% z2 b$ M4 khttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
: o% s! y6 g5 Z/ M进一步列目录（返回的网页很大，可以直接 wget 下来）
* K- C. Z3 _- {http://222.30.60.3/NPELS/CommonS ... List?version=../../

1 E' L* }+ @& J+ H& i发现
% D0 ^4 X1 K! S" J/ ~" R& ]http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
2 ^9 n% r# u3 H0 {+ @可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
6 g7 b0 J% _2 N2 D) `上传后继续列目录找到木马地址直接访问即可

& [/ u) p# y6 u! i' R+ ]7 s6 z9 Q/ zOOXX
* @% g7 e; W+ Y6 C. s# g
" _. C4 k  M! ~+ A6 BGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
3 F9 j9 ~9 B3 p3 v2 a. g& Y6 B2 A! |漏洞证明：

" @; q; e- X- z2 A' i列目录：
+ z  d( x! m( T5 mhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
7 v2 Q  `+ J! x9 J6 i  ^8 Z
上传木马：
- R# ]# w3 p5 o* h- Z6 }. c/ Yhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
% p1 X9 L1 {: r) f
修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
0 i3 l; _  a( t! p* {% S2 u