[讨论]关于serv-u
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])文章作者:1051203220
本人得到一webshell,然后用webshell附带的serv-u提权功能顺利添加用户,开3389然后进入系统。
然后我想使这台机防止serv-u提权,可是小弟不明白,是不是serv-u提权必须用到43958端口,那么又如何防止43958端口被用来提权,我也看过一些方法,不过还是有些疑惑
1。我看到一些资料上的serv-u提权,但好象基本上都是6.0以下版本,所以我想问一下,在6.0以上版本,在默认管理密码以及端口没改变的情况下,43958是不是还可以用来提权?
2。我还看到一些方法,说可以改默认端口,但是它又说serv-U v6以下版本有远程缓冲区溢出漏洞不建议使用这种方法,所以我想问,在6。0以上版本是不是改默认管理端口是个比较完美的方法?
3。还有我试过用ip安全策略来防止别人来连接43958,可是43958是本地端口,如果别人用端口转发,就变成自己连自己了,这样我试过ip安全策略不起作用,所以我就纳闷,有什么好方法把43958给保护好?(在不改端口号的情况下)
4。不知道防serv-u提权还有什么好方法,希望高手提点建议! [url]http://hi.baidu.com/%D0%A1%B1%A9s/blog/item/da7931d054e7198da1ec9c22.html[/url]
文章给你看下。其他自己想吧! 禁用WS组件,把权限设置变态点``` [s:264] 最简单的是在本地设置一个密码..设置后你如果想登陆你的SERVU必须输入这个密码,才能进行操作. [quote]引用第3楼黑鹰晓华于2007-07-26 19:59发表的 :
最简单的是在本地设置一个密码..设置后你如果想登陆你的SERVU必须输入这个密码,才能进行操作.[/quote]
貌似serv-u6.4就有了本地管理密码 偶一般就是用软件把SU的默认密码改了 LocalAdministrator,默认密码:#l@$ak#.lk;0@P 随便改一下 自己记得就OK了 方便自己下次近来 在这里借个地方问下
级别: 新手上路
精华: 0
发帖: 1
威望: 2 点
金钱: 10 点
贡献: 0 点
资历: 0 点
在线时间:16(小时)
注册时间:2007-02-06
最后登录:2007-07-25
凭什么他可以发帖子讨论,我为什么就不能呢,我有问题想问呀
问题是:如何让asp木马使用cmd组件输入whoami得到的是administrators组的成员 window2003环境 给su服务降权就啥都解决了 第一,把默认端口和默认密码改掉
第二,确保serv-U版本在6.3以上
第三,把安装serv-U的目录的控制权限修改
第三,在C:\Documents and Settings\All Users\「开始」菜单\程序\中删除关于serv-U的文件信息。以防入侵者下载回来能看到su的安装目录。或者把这个目录的控制权限设置的严格一点。
以上是服务器管理员惯用的方法 在默认管理密码以及端口没改变的情况下,43958是不是还可以用来提权?
肯定的哈~什么都不该那怎么不可能用来提权?提权都用的local的~ 改个本地管理密码,自己知道就行了.这样别人用默认的就没法提权了.
这个问题我也很想知道啊:
[quote]引用第6楼cheng4306于2007-07-29 23:35发表的 :
在这里借个地方问下
级别: 新手上路
精华: 0
发帖: 1
威望: 2 点
.......[/quote] 我知道可以改默认密码,但是你会改别人也会下载ServUDaemon,然后看你改的,虽然可以把目录权限设置一下,让他下载不了,但这样总感觉不爽,我的意思是想在端口上封死别人 你连目录权限设置,都会觉得不爽,你是要好看还是要安全啊?
ip安全策略--这项你不必去设置,没看见13里面的木马都是 本机127.0.0.1 连接提权的啊?
你想跟人家封死了
按我上帖说的。再把,FTP 21端口修改了,本地管理 43958端口修改了,设置Serv-U 目录权限,设置 程序 目录权限。(绝对隐藏,一般人不会发现.)
删除 wscript.shell; 权限设置或删除,CMD.exe,NET.exe,Net1.exe ,netstat.exe,cacls.exe......
可以肯定的跟你说,别人绝对不能通过Serv-U默认密码来提权. 删除 wscript.shell; 权限设置或删除,CMD.exe
禁止上传EXE文件 哈哈 断口改了,本地密码也改了基本就查不多了 大家东说西说,让我都产生了幻觉! [s:270]
楼主提到的是Ser-u,那么我们就对这个提出讨论
Ser-u现在提权都是利用默认端口和默认密码,默认用户.改变了密码或者端口都不会生效..
#l@$ak#.lk;0@P,我们可以用UltraEdit改一下,改为其他的,只要字符串对应可以就行...
貌似现在最新版本是6.4,其实是6.4我都没有提权利用Ser-u.曾听到剑还是E人说,6.4是一样的,原理没变.
我们就考虑在有0day的前题下,我们改默认密码就可以防御的。
至于其他安全设置,各有各的道路,不必多说了!
楼主问了那么多,还需要转43958端口,我觉的都是没必要,改默认密码就可以的...
如果你还担心被猜出来密码,建议你还不要把ser-u装在默认的C下,把名字改复杂点,然后访问权限我想你应该知道怎么调.
拒绝读取 只给Administrator system可选,给权限..就OK!
应该可以结帖!
睡觉!
[s:270] [s:269] 呵呵现在的服务是越来月不好提权了 我这里有个是SU提权的 发布出来大家看看 只要有FTP帐号密码 就可以提升为系统管理员权限
晕了 没有上传权限 [url]http://yifeng888.ys168.com/[/url] 放这里了自己去下 就算是你把端口改了,默认密码也改了。
但,把提权程序也作相应的改变,一样是可以添加用户的。当然改了可以防止别人提权,看楼主的意思,貌似重点想讨论的低版本缓冲区溢出漏洞,软件本身的漏洞,很复杂,但个人觉得,可以设置权限来进行相应的弥补。大家可以重点讨论这个.. 在SU的目录下。。
把#l@$ak#.lk;0@P修改下。。
或者装SU最新版本。。以上的版本是无之前的漏洞的 [quote]引用第20楼"进口處娚丶于2007-08-29 10:13发表的 :
在SU的目录下。。
把#l@$ak#.lk;0@P修改下。。
或者装SU最新版本。。以上的版本是无之前的漏洞的[/quote]
改密码已经没用了。
可以读出密码。 [quote]引用第6楼cheng4306于2007-07-29 23:35发表的 :
凭什么他可以发帖子讨论,我为什么就不能呢,我有问题想问呀
问题是:如何让asp木马使用cmd组件输入whoami得到的是administrators组的成员 window2003环境
[/quote]
去普通会员发帖提交
whoami?这个是什么指令啊
我是谁??
输个net localgroup administrators不就好了吗
[s:267] [quote]引用第20楼"进口處娚丶于2007-08-29 10:13发表的 :
在SU的目录下。。
把#l@$ak#.lk;0@P修改下。。
或者装SU最新版本。。以上的版本是无之前的漏洞的[/quote]
新版的也可以提而且直接可以加个帐号的。.. [quote]引用第22楼icexiaoye于2007-08-31 10:40发表的 :
去普通会员发帖提交
whoami?这个是什么指令啊
我是谁??
.......[/quote]
whoami是2003特有的命令吧。
可以查看当前进程的权限。
即:某个域,某个组的。 配置serv-u 以user身份启动服务即可
具体:
新建一个用户如 ftpuser
仅赋予该用户和administrators组注册表: serv-u 键完全控制权限
仅赋予该用户和administrators组serv-u 安装目录完全控制权限
设置serv-u服务以ftpuser身份登录
赋予ftpuser 得ftp上传目录的完全控制权限,这下你可以自己试试能不能提权了 直接删除net.exe net1.exe 不能建帐号了,设置serv-u目录的权限就OK 现在一般的serv-u提权对于象6.4版本的是不是原理和效果都一样啊 6。4的版本一样可以提权,我刚刚遇到个6.4的,就用的serv-u提权成功的 [s:264] [s:264] 把SU的权限降低 然后SU的目录只允许你管理员访问 就可以了 [s:289] 用Ultraedit打开ServUDaemon.exe查找
Ascii:LocalAdministrator,
和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理 防止Serv-U提权
其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
用Ultraedit打开ServUDaemon.exe查找
Ascii:LocalAdministrator,
和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
(另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码) [quote]引用第14楼pixy于2007-08-29 04:02发表的 :
大家东说西说,让我都产生了幻觉! [s:270]
楼主提到的是Ser-u,那么我们就对这个提出讨论
Ser-u现在提权都是利用默认端口和默认密码,默认用户.改变了密码或者端口都不会生效..
.......[/quote]
西西。现在貌似6.4 的0day出来了.... Connected to xx.xx.xx.xx.
220 Serv-U FTP Server v6.4 for WinSock ready...
User (xx.xx.xx.xx:(none)): go
331 User name okay, need password.
Password:
230 User logged in, proceed.
ftp> cd c:
550 /c:: No such file or directory.
ftp> quote site exec net user test test /add
501 Cannot EXEC command line (error=2).
ftp>
我连上去后执行命令出现这 提示~~
是什么原因呢~~
net net1貌似都不能用呀 还有,不知道如何修改
Access=c:\\|RWAMELCDP" & vbCrLf
quit = "QUIT" & vbCrLf
newuser=replace(newuser,"c:",f)
默认下只是加了 C盘的权限~
我登陆不能执行命令~
现在我想,怎么修改才能加上其他盘的权限,比如d盘,E盘的,就是要一次加完所有盘的权限。
望请教呀~~ 可以自己修改端口的呀..也可以把密码啥给改了 [s:266] 本人遇到个6.2版的。目录是不可以访问。
但默认帐号和密码没改。于是把43958转发出来,本地提权。
成功建立FTP管理员帐号并成功登陆。
执行“EXEC..."添加系统帐户,回显是成功!
但是,登3389的时候却提示没有这个用户,用webshell查看,也没有这个用户。
不知道是为什么。
还有很莫名其妙的情况就是,net user可以执行,也有回显。
但net user 123 123 /add 添加用户就不行,把我搞郁闷了。
仅有一个webshell.有可以执行的目录,传了马,免杀的,也不能上线。
求高手帮助。 可以改变serv-u 服务的启动方式,给他单独建立一个帐户 就可以了
[url]http://www.chinabch.cn/xing/2007/21/153/[/url]
看我的文章
页:
[1]