新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
. g6 R5 M& Z" G- i, m& ^
- X$ P& X: X+ |7 Q8 l) g详细说明：
( a$ c% D! _+ Y+ c4 m; k
以南开大学的为例:
9 L& J- u7 N7 Z1 e. Y* chttp://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
  j3 W: i: B3 u<setting name="Update_CommonSvr_CommonService" serializeAs="String">
" ]& o0 L. ]4 v& Z0 Y9 H: x) ]* {<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
0 c4 E/ `1 a1 q. E</setting>
' w5 J4 J9 o. W, u5 Q6 z及版本号
<add key="TVersion" value="1, 0, 0, 2187">
7 k/ d# J- l  z</add>
0 W* r6 I: F( E; \' \直接访问
$ j+ u  @* G& j5 u* l1 G* dhttp://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
4 X* o& |. b  L, N$ e9 T进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可

OOXX
3 O  O$ g7 T' H' c6 g4 j
% L7 o, f5 @4 E" d2 O% lGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
' o7 V; K! a( c8 ]" M; _漏洞证明：

% n# o6 e3 U7 V8 f/ Q列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
2 ?) x. z' d; J" a* m/ a文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
2 _5 ?9 \; P, W$ z8 V
上传木马：
/ f' T; k5 V5 d- O$ T& Thttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
, E+ O5 m: |; X, l) N/ M
修复方案：
% V4 u, p- p! I' g  ~6 Y, i好像考试系统必须使用 CommonService.asmx
% i& Y$ M# B$ l6 _最好配置文件加密或者用别的方式不让它泄露出来
  m% q1 @9 |# A2 d并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​