登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

梦想之鹰的天空

天高任鸟飞......放飞....心情..........放飞.....梦想

 
 
 

日志

 
 

SERV-U最新安全漏洞测试  

2008-05-07 18:49:25|  分类: 服务器 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

近日,在某安全论坛看到SERV-U又暴新漏洞,该漏洞通杀包括SERV-U 6.4及其以前的所有版本。如果服务器安装了SERV-U,攻击者在获得了网站的Webshell后利用该漏洞就可以进行提权,建立拥有管理员权限的帐户,进而完全控制服务器。

  下面笔者搭建测试环境,利用该论坛提供的提权代码见图1进行漏洞测试。

  SERV-U最新安全漏洞测试 - 梦想之鹰 - 梦想之鹰的天空

  服务器环境:

  Windows 2003 server

  IIS 6.0

  Webshell

  SERV-U 6.4

  3389.exe(开远程桌面工具)

  1、代码整合

  拷贝图1所示的代码进行测试,将其整合到事先准备好的Webshell中,使其成为一个单独的SERV-U提权模块。(图2)

  SERV-U最新安全漏洞测试 - 梦想之鹰 - 梦想之鹰的天空

  2、部署SERV-U

  下载并安装最新的6.4版本的SERV-U,创建新Test_LW,并进行简单的设置最后启动SERV-U服务。(图3)

  SERV-U最新安全漏洞测试 - 梦想之鹰 - 梦想之鹰的天空

 3、提权操作

  在本地浏览器中运行Webshell,点击执行“提权工具”链接打开SERV-U提权模块,保持各项默认值不变点击“提交”按钮,显示命令成功执行。这样可在SERV-U的Test_LW域中添加一个用户名为hacker,密码为hacker的用户。(图4)

  SERV-U最新安全漏洞测试 - 梦想之鹰 - 梦想之鹰的天空

  4、提权效果

  打开SERV-U管理控制台,果然在Test_LW域的“用户”下面多了一个hacker的用户。点击“目录访问”选项卡,可以看到该用户具有文件的“读取”、“写入”、“追加”、“删除”、“执行”权限,具有目录的“列表”、“创建”、“移除”和子目录的“继承”权限。这说明该用户拥有所有的权限即系统管理的权限。这就意味着该用户可以所有的系统命令,比如cmd命令行。(图5)

  SERV-U最新安全漏洞测试 - 梦想之鹰 - 梦想之鹰的天空

  5、创建系统用户

  在本地打开命令行(cmd.exe)输入命令:ftp 127.0.0.1 用户名为hacker,密码为hacker。显示:

  230 User logged in, proceed说明成功登陆。

  然后继续执行如下命令命令建立系统帐户:quote site exec net user hacker$ hacker /add

  命令成功执行。执行如下命令把hacker$用户添加到管理员组:quote site exec net localgroup administrators hacker$ /add 显示200 EXEC command successful (TID=33)表明命令成功执行。(图6)

  SERV-U最新安全漏洞测试 - 梦想之鹰 - 梦想之鹰的天空

  打开本地用户和组,可以看到多了一个权限为管理员的hacker$帐户。(图7)

  SERV-U最新安全漏洞测试 - 梦想之鹰 - 梦想之鹰的天空

  6、执行木马

  攻击者至此应该是通过FTP上传木马服务端了,笔者在C盘根目录下准备了一个开启3389远程桌面的工具就不上传了。继续执行命令:quote site exec c:\3389.exe,显示:200 EXEC command successful (TID=33).说明3389.exe被执行。查看本地“进程管理器”可以看到3389.exe是以system用户来运行的。(图8)

  SERV-U最新安全漏洞测试 - 梦想之鹰 - 梦想之鹰的天空

  7、远程控制

  在物理主机上运行“远程桌面连接”工具,输入虚拟机服务器的IP地址192.168.1.12,及其用户名hacker$,密码hacker。连接成功,该服务器完全控制。(图9)

  SERV-U最新安全漏洞测试 - 梦想之鹰 - 梦想之鹰的天空

  总结:利用SERV-U最新提权漏洞代码,我们通过创建SERV-U用户(hacker)然后登陆FTP服务器,创建具有管理员权限的hacker$用户,接着上传并运行3389.exe木马程序,到最后远程连接完全控制控制服务器,可见该漏洞的危害有多大了。

  防范措施

  (1).加固Web服务器,防范被植入Webshell。

  (2).升级SERV-U或者改用其他第三方的FTP服务器软件。

  (3).Web服务器和FTP服务器分离。特别提示,如果服务器不需要FTP服务,一定要卸载SERV-U。

  (4).服务器安装杀毒软件和防火墙,预防上传木马和非法连接。

  评论这张
 
阅读(584)| 评论(0)

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018