Serv-U3.X-6.0本地权限提升漏洞的防御方案
2004-12-19 10:54
786 查看
出自:http://www.fineacer.com
Serv-U Ftp server(以下简称Serv-u)是一个应用比较广泛的Ftp Server(尤其是国内电信ISP、IDC等),功能强大,使用方便,Serv-U3.x至11月7日发布的Serv-U6.0.0.0等版本全都存在本地权限提升漏洞,使用guest权限结合Exploit可以以system权限运行程序,通过Webshell结合Exploit提升权限取得系统最高控制权已经成了眼下很流行的常用权限提升方法与入侵方法。
漏洞简介:
漏洞是使用Serv-U本地默认管理端口,以默认管理员登陆新建域和用户来执行命令,Serv-U>3.x至Serv-U6.000版本均默认本地管理端口是:43958,默认管理员:LocalAdministrator,默认密码:#l@$ak#.lk;0@P,这是集成在Serv-U内部的,可以以Guest权限来进行连接,对Serv-u进行管理。
详细漏洞公告:
http://www.fineacer.com/Article_Show.asp?ArticleID=3369
防止此种攻击的办法与对策:
一般防止方法:设置目录权限,通过去掉Web目录iusr_xxxx(xxxx为你的机器名)用户的执行权限来防止使用Webshell来运行Exploit程序。
对策:这种方法有一定的局限性,需要设置的目录很多,不能有一点疏漏,比如我就发现很多虚拟主机在C:/Documents and Settings/All Users/ Documents目录以及下边几个子目录Documents没有设置权限,导致可以在这个目录上传并运行Exploit,这种目录还有x:/php,x:/perl等,因为这种目录都是everyone完全控制的。有些主机还支持php,pl,aspx等,这简直就是服务器的Serv-U灾难,^_^,运行程序更加方便。
高级一点的防止办法:修改Serv-U管理端口,用Ultraedit打开ServUDaemon.exe查找B6AB(43958的16进制),替换成自己定义的端口比如3930(12345),打开ServUAdmin.exe找到最后一个B6AB替换成3930(12345),启动Serv-u,现在本地管理端口就成了12345了:
TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING
对策:对付这种也很简单,netstat –an,就能看到端口了,有人说netstat无法在WebShell上运行,其实你再上传个netstat.exe到可执行目录运行就ok了,然后修改一下Exploit编译,上传运行就好了,下面提供一个可以自定义端口的Exploits(原代码后附。),运行格式:
USAGE: serv-u.exe port "command"
Example: serv-u.exe 43958 "net user test fineacer.com /add"
更高级的防止办法:修改管理员名和密码,用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
对策:这下默认的管理员连接不上了,还有办法么?嘿嘿,有的管理员安装Serv-U都是使用默认目录C:/Program Files/Serv-U安装,这个目录虽然不能写,也不能修改,但是默认iusr是可以读的,黑客们可以用webshell来下载ServUDaemon.exe,用Ultraedit打开分析一下,Serv-U的帐号密码就到手了,修改Exploit编译上传运行,黑客又胜利了。
完整防御方案:
1.设置好目录权限,不要疏忽大意;服务器任何一个目录都不要放过。
2.Serv-U最好不要使用默认安装路径,设置Serv-U目录的权限,只有管理员才能访问。
3.用我介绍的办法修改Serv-U的默认管理员名字和密码,喜欢的话端口也可以改掉。
Serv-U Ftp server(以下简称Serv-u)是一个应用比较广泛的Ftp Server(尤其是国内电信ISP、IDC等),功能强大,使用方便,Serv-U3.x至11月7日发布的Serv-U6.0.0.0等版本全都存在本地权限提升漏洞,使用guest权限结合Exploit可以以system权限运行程序,通过Webshell结合Exploit提升权限取得系统最高控制权已经成了眼下很流行的常用权限提升方法与入侵方法。
漏洞简介:
漏洞是使用Serv-U本地默认管理端口,以默认管理员登陆新建域和用户来执行命令,Serv-U>3.x至Serv-U6.000版本均默认本地管理端口是:43958,默认管理员:LocalAdministrator,默认密码:#l@$ak#.lk;0@P,这是集成在Serv-U内部的,可以以Guest权限来进行连接,对Serv-u进行管理。
详细漏洞公告:
http://www.fineacer.com/Article_Show.asp?ArticleID=3369
防止此种攻击的办法与对策:
一般防止方法:设置目录权限,通过去掉Web目录iusr_xxxx(xxxx为你的机器名)用户的执行权限来防止使用Webshell来运行Exploit程序。
对策:这种方法有一定的局限性,需要设置的目录很多,不能有一点疏漏,比如我就发现很多虚拟主机在C:/Documents and Settings/All Users/ Documents目录以及下边几个子目录Documents没有设置权限,导致可以在这个目录上传并运行Exploit,这种目录还有x:/php,x:/perl等,因为这种目录都是everyone完全控制的。有些主机还支持php,pl,aspx等,这简直就是服务器的Serv-U灾难,^_^,运行程序更加方便。
高级一点的防止办法:修改Serv-U管理端口,用Ultraedit打开ServUDaemon.exe查找B6AB(43958的16进制),替换成自己定义的端口比如3930(12345),打开ServUAdmin.exe找到最后一个B6AB替换成3930(12345),启动Serv-u,现在本地管理端口就成了12345了:
TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING
对策:对付这种也很简单,netstat –an,就能看到端口了,有人说netstat无法在WebShell上运行,其实你再上传个netstat.exe到可执行目录运行就ok了,然后修改一下Exploit编译,上传运行就好了,下面提供一个可以自定义端口的Exploits(原代码后附。),运行格式:
USAGE: serv-u.exe port "command"
Example: serv-u.exe 43958 "net user test fineacer.com /add"
更高级的防止办法:修改管理员名和密码,用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
对策:这下默认的管理员连接不上了,还有办法么?嘿嘿,有的管理员安装Serv-U都是使用默认目录C:/Program Files/Serv-U安装,这个目录虽然不能写,也不能修改,但是默认iusr是可以读的,黑客们可以用webshell来下载ServUDaemon.exe,用Ultraedit打开分析一下,Serv-U的帐号密码就到手了,修改Exploit编译上传运行,黑客又胜利了。
完整防御方案:
1.设置好目录权限,不要疏忽大意;服务器任何一个目录都不要放过。
2.Serv-U最好不要使用默认安装路径,设置Serv-U目录的权限,只有管理员才能访问。
3.用我介绍的办法修改Serv-U的默认管理员名字和密码,喜欢的话端口也可以改掉。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Serv-u Ftp Server 本地权限提升漏洞的终极防御
- 转载的Serv-u 本地权限提升漏洞的终极防御
- Serv-U本地权限提升漏洞
- Serv-U v6.0 本地权限提升漏洞
- Serv-u Ftp Server 本地权限提升漏洞
- Kingsoft 'KAVSafe.sys' Driver 本地权限提升漏洞
- Linux Kernel do_mremap VMA本地权限提升漏洞
- Linux Kernel 本地权限提升漏洞
- Linux Kernel 'perf_event.c'本地权限提升漏洞
- Windows XP 核心驱动 AFD.sys 本地权限提升漏洞分析(ms08066)
- Serv-U FTP Server远程/本地提升权限缺陷
- Microsoft IIS文件更改通知本地权限提升漏洞(MS08-005)
- Windows XP 核心驱动 secdrv.sys 本地权限提升漏洞
- Linux Kernel 多个本地权限提升漏洞
- Serv-U FTP Server本地提升权限缺陷
- Serv-U FTP Server远程/本地提升权限缺陷
- Serv-U本地权限提升的ASP实现(转)
- Linux 2.6.* 内核Capability LSM模块进程特权信任状本地权限提升漏洞
- Serv-U FTP Server本地提升权限缺陷
- [原创]Serv-U本地权限提升配置器