网络上流传的vClass教学平台存在一处任意文件上传和struts2命令执行漏洞。

网上的流传介绍：
 

Vclass 是由北京师范大学现代教育技术研究所开发的网络教学平台，它是建立在通用 Internet/Intranet 基础之上的，专门为基于双向多媒体通信网络的远程教学而提供全面服务的软件系统，在丰富的学科资源的基础之上，学科教师根据教学要求与教学计划，并根据自己的教学特色，开发网络教学课件，借助于网络教学的一些支持工具，开展双向的远程教学，教学管理系统可以保障这种教学更加高效，也更加规范化。 Vclass 网络教学平台由四个系统组成：网上教学支持系统、网上教务管理系统、网上课程开发工具和网上教学资源管理系统四个子系统，

 

页面风格：
 

漏洞描述：

#1.任意文件上传，注册一个学生，进入之后好多文件上传地方。

#2.登录页面：login.do 存在命令执行漏洞。

#3.SQL注入漏洞，登录学生账号后在搜索框处存在SQL注入。

【声明：以下案例仅供CNVD、CNCERT测试使用，其他人不得利用或者恶意破坏，否则后果自负！】

#4.struts命令执行漏洞

TEST 1：
 

http://vclass.bhsedu.net.cn/login.do

 

TEST 2：
 

http://58.132.57.4:8088/login.do

 

TEST 3：
 

http://219.142.121.10:8081/login.do

 

TEST 4：
 

http://kys.nsjy.com/login.do

 

TEST 5:
 

http://vclass1.bhsedu.net.cn/login.do

 

#5.任意文件上传漏洞：

第一个上传地方：

先注册一个学生的账号，注册地址：

reg/create.do

然后登录进去，修改头像的地方：

/userInfo/userHead.do

上传一个经过处理的JSP脚本。建议使用IE测试。
 

然后你懂的：
 

 

第二个上上传的地方：进入课程讨论区，随便找一个帖子回复上传附件处可上场任意脚本。
 

接着审查元素看到一个doload的地址。
 

 

attachment/download.do?id=2s3z1CpTW

其实2s3z1CpTW就是文件的名称，加上后缀就是2s3z1CpTW.jsp，文件存放的为止在/upload/bbs目录下，则可以得到shell地址。
 

第三处上传的地方：

进入工具箱——我的小硬盘
 

继续审查元素得到一个下载地址：
 

依然跟上面一样，2s4-JRlHY就是文件的名称，加上后缀就是2s4-JRlHY.jsp，这里上传的文件在upload/disk下面，则可获得shell地址为：
 

还有很多任意文件上传地方，这里就不多提了。不测试下去了!



#6.SQL注入漏洞，登录后--进入课程---搜索处存在注入：
 

 

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '% ' or o.description like ' % '%') and (diskfile0_.id in ('2KRjZQay8'))' at line 1

 

带入sqlmap跑一下试试，注入参数是keywords
 

 

好了，测试规测试，点到为止，不跑表了，此次测试发现该站点被人上传过shell，不过我已经帮站长清理了前人的木马，请大家不要破坏哟！尽快修复把！

修复方案：

好了，修补一下吧，所有上传的测试文件已经删除。软件的开发商是北京师范大学现代教育技术研究所，建议通知厂商修补。rank 20+