[转载]Serv-U本地权限提升漏洞

本文作者： Bug.Center.Team

阅读次数： 89
发布日期： 2004-12-7
发布日期：2004-08-6
更新日期：2004-12-7
原Serv-u本地权限提升漏洞资料地址：
http://www.nsfocus.net/index.php ... &keyword=serv-u
原作者测试后发现漏洞针对的版本为v5.1.0.0，经过B.C.T测试6.0依然存在漏洞！

受影响系统：
Serv-U FTP Server 6.0
Serv-U FTP Server 5.1.0.0
Serv-U FTP Server 5.0.0.9
Serv-U FTP Server 5.0.0.4
Serv-U FTP Server 5.0
Serv-U FTP Server 4.1.0.3
Serv-U FTP Server 4.1.0.11
Serv-U FTP Server 4.0.0.4
Serv-U FTP Server 4.0.0.0
Serv-U FTP Server 3.0.0.20

漏洞详述：
------------------------------------------------------------
Serv-u 是一款很出名的Ftp Server软件，最新版本Serv-U FTP Server V6.0 已经发布，经过测试发现该版本已之前版本一样都存在这个问题。漏洞是使用Serv-u本地默认管理端口，以默认管理员登陆新建
域和用户来执行命令，版本默认本地管理端口是：43958，默认管理员：LocalAdministrator，
默认密码：#l@$ak#.lk;0@P，这是集成在Serv-u内部的，可以以Guest权限来进行连接，对Serv-u进行管理。

测试方法：
------------------------------------------------------------
http://www.bnso.net/serv-u.rar
------------------------------------------------------------

厂商补丁：
RhinoSoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.serv-u.com/