[转载]Serv-u ftp server 远程/本地提升权限探测

信息来源：第八军团

    serv-u是RhinoSoft出品的一款ftp server软件,在全世界应用广泛,其配置文件存储于该软件安装目录下的ServUDaemon.ini文件中.
   
   经过发现如果本地用户或者远程拥有普通权限的用户能够构建修改该文件内容就能利用ftp命令在系统上以SYSTEM权限执行任意命令.
   
   该漏洞由国内的紫幻首先发现,在此向紫幻表示感谢!
   
   
    下面我在本地做了一个测试,先安装serv-u,设置了新的域,ip地址,设置了一个名为administrator,密码为yyc的用户,权限我们先选择为读取
   
   ,写入,追加,删除,至于执行先不勾选(呵呵~~其实漏洞就是出在这个东西上),下面的目录,子目录的选项框全部勾选,我设置的主目录是h盘,
   
   下面我们找到ServUDaemon.ini,看看其内容如下,
   
   [GLOBAL]
   Version=4.1.0.4
   LocalSetupPassword=072C63105200180D5C07170A7E3E
   SpeedLimit=1024000
   AntiHammer=1
   PacketTimeOut=300
   ProcessID=920
   [DOMAINS]
   Domain1=192.168.0.1||21|ftp.yyc.com|1|0
   [Domain1]
   User1=administrator|1|0
   VirPath1=H:\\
   [USER=administrator|1]
   Password=maD5D5F405E0F5EAFB28F1EACD7D156B00
   HomeDir=h:\\cgi
   RelPaths=1
   TimeOut=600
   Maintenance=Domain
   Access1=H:\\|RWAMLCDP
   
   下面我把那个执行权限勾选上,看看文件内容有什么变化,由于我使用的是未注册版,所以这项变化根本看不出来,有条件的朋友可以自己试哈
   
   不过据紫幻所说变化只有一个地方,就是Maintenance的值由Domain变成了System;呵呵~~想一想 如果我们把目录变成系统盘,结果会怎么样?
   
   呵呵.那就可以利用serv-u的扩展命令执行一系列的东西了,哈哈,关于这个我做好了动画教程,大家可以看看
   
   另外,在测试时发现普通用户的密码都是明文显示的,比如我在本地上加了一个普通用户,在ServUDaemon.ini中出现下列字眼;
   
   [USER=sy|1]
   Password=by
   
   呵呵,这个用户名就是sy,密码就是by,利用asp网页木马我拿到了自己空间服务商的80多个ftp帐号.
   
   下面说说如何远程攻击,当然前提是你能够接触到ServUDaemon.ini,方法我就不说了,太多拉
   
   然后用自己在本地的ServUDaemon.ini覆盖那个就可以了,这个我没有条件实验,最好是修改,因为里面的有些基本信息是不能更改的,
   
   否则可能就登陆不上去了,当然修改前作个备份,完工之后再恢复回去,不然的话就被管理员给发现拉,呵呵~~
   
   当然你在本地配制的ServUDaemon.ini要拥有执行权限才可以的,而且自己配置的用户名和密码都要记住哦,执行ftp时需要用的,下面的工作我就
   
   不说拉,大家看动画教程吧^_^ 教程的下载地址为http://218.13.33.77/~juntuan/show.php?id=58
   
   该漏洞只限于配置serv-u的时候选择将文件信息保存在ServUDaemon.ini的情形(这个也是默认的)如果选择保存在注册表中则没有该漏洞
   
   严格的说这并不能算做漏洞,只能说是个缺陷和提升权限的思路(呵呵~~)
   
   解决方法:目前厂商还没有发布任何补丁,建议管理员在设置ftp登陆用户的时候将配置信息保存在注册表中,或者利用ntfs分区格式严格审核
   
   serv-u ftp server文件目录的浏览和修改权限.....