serv-U　FTP攻击防守　Ultraedit修改ServUDaemon.exe--唐伯虎

欢迎光临

日历

<< < 2009 - 3 > >>
日	一	二	三	四	五	六
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

最新留言

serv-U FTP攻击防守 Ultraedit修改ServUDaemon.exe

在看这篇文章之前，有几点要注意

1、everyone用户完全控制目录在服务器上绝对不能出现

2、WEB目录上的权限都是独立的一般情况下是读取和写入，无运行权利

3、ipsec做了限定相关出入站端口访问

Serv-u本地默认管理端口，以默认管理员登陆新建域和用户来执行命令，Serv-u V3.x以上的版本默认本地管理端口是：127.0.0.1:43958，所以只能本机连接，默认管理员：

LocalAdministrator，默认密码：#l@$ak#.lk;0@P，这是集成在Serv-u内部的，可以以Guest权限来进连接，对Serv-u进行管理,如图1

防止办法和对策:
serv-U v6以下的版本可以直接用Ultraedit修改文件ServUDaemon.exe和ServUAdmin.exe,把默认密码修改成等长度的其它字符就可以了,用

Ultraedit打开ServUAdmin.exe查找最后一个B6AB(43958的16进制)，替换成自定义的端口比如3930（12345），不过因为serv-U v6以下版本有远程缓冲区溢出漏洞，不建议使用

serv-U v6以上的版本可以在ServUDaemon.ini中加上LocalSetupPortNo=12345,可改变默认的管理端口,采用ipsec限制任何IP访问12345端口访

问,即增加12345端口的阻止,如果不改默认端口,就增加43958端口的阻止,如果"使用设置更改密码"的按钮,即在 ServUDaemon.ini中加上

本文所有信息都是由http://www.isee5.com Isee5音乐网提供

LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39之类的MD5密码,如果不修改默认管理密码的话, 原来的#l@$ak#.lk;0@P依旧保存只有当密码为空时使用，再加上管理端口的限定LocalSetupPortNo=12345，当然程序中也要改端口的

设置目录权限，通过去掉Web目录IIS访问用户的执行权限来防止使用Webshell来运行Exp程序，但这个方法有一定的局限性，需要设置的目录很多，不能有一点疏漏，如果有一个目录设置错误，就会导致可以在这个目录上传并运行Exp，因为WEB上的权限都是独立的一般情况下是读取和写入.无运行权利.那么上传其他文件进行执行成功可能性不大，修改Serv-u安装目录C:\Program Files\Serv-U的权限（比如说这个目录，不过为了安全，请不要使用默认目录），administrator组完全控制，拒绝Guests组用户访问Serv-U目录，这是防止用户使用webshell来下载 ServUDaemon.exe，用Ultraedit打开分析Serv-U的帐号密码，并修改编译上传运行,那前面做的工作都没有作用了,因为这里默认管理端口在程序文件中已经修改，在ServUDaemon.ini中也已经修改，这样来说默认的管理员连接不上了

最后一条，因为Serv-U是以服务启动默认是以System权限运行的，才会有被权限提升的可能。只需要把Serv-U的启动用户改成一个USER组的用户，那么就再不会有所谓的权限提升了。但要注意的是，这个低权限用户一定要对Serv-U安装目录和提供FTP服务的目录或盘符有完全控制的权限。经测试发现，使用普通组用户启动的Serv-U是不能增加用户和删除用户的，其他一切正常

isee5 发表于 2008/3/9 13:46:00 | 阅读全文 | 回复(1) | 引用通告 | 编辑

标签：serv－U FTP软件的攻击防守用Ultraedit修改文件ServUDaemon.exe

上一篇：了解SERV-U FTP SERVER
下一篇：Windows2003服务器安全设置

Re:serv-U FTP攻击防守 Ultraedit修改ServUDaemon.exe

Serv-U Ftp server的安全!使用者注意了
Serv-U Ftp server的安全!使用者注意了

Serv-U Ftp server(以下简称Serv-u)是一个应用比较广泛的Ftp Server(尤其是国内电信ISP、IDC等)，功能强大，使用方便，Serv-U3.x至11月7日发布的Serv-U6.0.0.0等版本全都存在本地权限提升漏洞，使用guest权限结合Exploit可以以system权限运行程序，通过Webshell结合Exploit提升权限取得系统最高控制权已经成了眼下很流行的常用权限提升方法与入侵方法。

漏洞简介：

漏洞是使用Serv-U本地默认管理端口，以默认管理员登陆新建域和用户来执行命令，Serv-U>3.x至Serv-U6.000版本均默认本地管理端口是：43958，默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P，这是集成在Serv-U内部的，可以以Guest权限来进行连接，对Serv-u进行管理。

防止此种攻击的办法与对策：

　　一般防止方法：设置目录权限，通过去掉Web目录iusr_xxxx(xxxx为你的机器名)用户的执行权限来防止使用Webshell来运行Exploit程序。

对策：这种方法有一定的局限性，需要设置的目录很多，不能有一点疏漏，比如我就发现很多虚拟主机在C:\Documents and Settings\All Users\ Documents目录以及下边几个子目录Documents没有设置权限，导致可以在这个目录上传并运行Exploit，这种目录还有x:\php,x:\perl等，因为这种目录都是everyone完全控制的。有些主机还支持php,pl,aspx等，这简直就是服务器的Serv-U灾难，^_^，运行程序更加方便。

高级一点的防止办法：修改Serv-U管理端口，用Ultraedit打开ServUDaemon.exe查找B6AB(43958的16进制)，替换成自己定义的端口比如3930（12345），打开ServUAdmin.exe找到最后一个B6AB替换成3930（12345）,启动Serv-u，现在本地管理端口就成了12345了：

TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING

对策：对付这种也很简单，netstat –an,就能看到端口了，有人说netstat无法在WebShell上运行，其实你再上传个netstat.exe到可执行目录运行就ok了，然后修改一下Exploit编译，上传运行就好了，下面提供一个可以自定义端口的Exploits(原代码后附。),运行格式：

USAGE: serv-u.exe port "command"

Example: serv-u.exe 43958 "net user test fineacer.com /add"

更高级的防止办法：修改管理员名和密码，用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

对策：这下默认的管理员连接不上了，还有办法么？嘿嘿，有的管理员安装Serv-U都是使用默认目录C:\Program Files\Serv-U安装，这个目录虽然不能写，也不能修改，但是默认iusr是可以读的，黑客们可以用webshell来下载ServUDaemon.exe，用Ultraedit打开分析一下，Serv-U的帐号密码就到手了，修改Exploit编译上传运行，黑客又胜利了。

完整防御方案：

1.设置好目录权限，不要疏忽大意；服务器任何一个目录都不要放过。

2.Serv-U最好不要使用默认安装路径，设置Serv-U目录的权限，只有管理员才能访问。

3.用我介绍的办法修改Serv-U的默认管理员名字和密码，喜欢的话端口也可以改掉。

后记：

入侵和防御就像矛和盾，盾上不能有任何薄弱之处，不然就会死的很难看。本文旨在为服务器管理员提供防御这个漏洞的解决方案，不足之处，请各位高手指教。（以上测试在Serv-u 5.0，5.1，5.2，6.0上通过）

isee5发表评论于2008/3/9 14:14:00 | 个人主页 | 引用 | 返回 | 删除 | 回复

发表评论：