通过SERV-U 6.0.0.2的侵入及其防范方法概要
- 格式:doc
- 大小:664.50 KB
- 文档页数:14
通过SERV-U 6.0.0.2的侵入及其防范方法沈浩德清学院(313200)摘要:Serv-U是一个Windows平台下使用非常广泛的FTP服务器软件。
本文通过研究,分析了Serv-U存在的设计问题,介绍了利用漏洞以SYSTEM权限在系统上执行任意命令,侵入服务器的方法。
并探讨了如何加强Serv-U 6.0.0.2的安全防范问题。
关键词:Serv-U Webshell 权限提升1.引言作为一款精典的FTP服务器软件,SERV-U一直被大部分管理员所使用,它简单的安装和配置,以及强大的管理功能都值得称颂。
但随着使用者的增加,该软件的安全问题也逐渐显露出来。
本月初,就因为SERV-U的漏洞,导致了我校服务器被黑客侵入,教学支持站点被破坏,造成了一定程度的损失。
2.Serv-U 6.0.0.2的安全问题2.1 网站遭遇攻击几天前的早上,发现学校网站FTP不正常,打开服务器查看,登录窗口有异常,没有了默认的登录用户。
输入用户名、密码登录后,打开用户管理,发现增加了四个陌生的帐号,“hk007”、“hk0007”、“hk009”、“hk0009”。
不好,遭黑客侵入了。
“hk”分明就是“黑客”的意思。
为了夺回对服务器的控制权,我首先将它从网络上断开,防止破坏进一步扩大。
赶紧看看其他,发现硬盘上目录都在。
在进行入侵分析之前,我备份了被侵入的系统。
因为可能会需要将系统恢复到侵入刚被发现时的状态,并且对法律调查有帮助。
记录下备份的卷标、标志和日期,然后保存到网上邻居其他电脑上以保持数据的完整性。
同时,记录下恢复过程中所采取的每一步措施。
因为考虑恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,还有可能作出一些草率的决定。
记录自己所做的每一步操作可以帮助避免作出草率的决定,还可以留作以后的参考。
现在可以审查日志文件和系统配置文件了。
检查系统日志,发现都是当天的,看来侵入过程的日志已经被清除了。
再检查入侵者对系统的修改,搜索近一个星期修改过的文件。
找到一大堆陌生文件,都是远程控制软件服务器端的程序,选定后全部删除。
打开Serv-u 管理界面,无法查看域设置,显示“无法连接到43958端口”,看来Serv-u已经遭到了修改破坏。
点击开始菜单,打开程序组竟然还发现QQ聊天软件。
于是找到QQ软件的安装目录,检查留下的蛛丝马迹。
有两个登录帐号,但是聊天记录已经删除。
记下号码后,用QQ查找,两个帐号都没有上线,其个人资料分别显示来自湖北和北京,没有其他有用信息。
用木马防线2005版进行扫描,没有发现其他木马。
WEB服务器中电大在线站点无法访问,尽管可以修复,但考虑黑客极有可能留下后门,无法清除干净,所以决定重装系统。
但在重装之前必须先弄清楚这次遭攻击的漏洞,否则即使重装了系统还是不可靠。
考虑Serv-u无法进行本地管理,看来是被修改了程序文件或配置文件,所以怀疑攻击可能与Serv-u有关。
上网查找资料,发现我所使用的Serv-u 6.0.0.2确实存在漏洞。
2.2 Serv-U 6.0.0.2安全漏洞分析所有Serv-U存在默认本地管理员登录密码,这帐户只能在本地接口中连接,因此本地攻击者可以连接Serv-U并建立拥有执行权限的FTP用户,在这个用户建立后,连接FTP服务器并执行"SITE EXEC"命令,程序就会以SYSTEM权限执行。
Serv-u>3.x版本都存在本地权限提升漏洞,通过Webshell结合Exp提升权限已经成了很常用提升方法。
在Serv-U 6.0.0.2版本中,初始管理密码依旧是#l@$ak#.lk;0@P,但可以很方便地在Serv-U admin控制台修改密码,修改完密码,配置保存在ServUDaemon.ini的LocalSetupPassword=中。
原来的#l@$ak#.lk;0@P依旧保存,只有当密码为空时使用。
2.3 利用Serv-U 6.0.0.2的侵入只要得到一个webshell,一旦发现服务器安装了serv-u ,就可以提升权限。
找到Serv-u 的目录,打开ServUDaemon.ini,内容类似:[GLOBAL]Version=6.0.0.2ProcessID=392[Domain1]User1=jqzx|1|0如果没有LocalSetupPassword,很可能默认密码没改。
上传xiaolu的那个serv-u权限提升工具(myservu.exe) 执行,如果发现权限不够,还是有办法的。
自己再上传一个cmd.exe 到网站目录,当然网站目录应该有执行权限,在海洋2005木马上执行。
注意这时的cmd.exe要带上路径,myservu.exe 43958 "net user dqdd dqdd /add"执行完毕后,用net user 查看,成功添加了dqdd用户。
serv-u 6.0.0.2 的ServUDaemon.ini,如果没有LocalSetupPassword和以前版本的利用方法是完全一样的。
如果管理员修改了默认密码,那么就会增加LocalSetupPassword行。
这时的ServUDaemon.ini类似以下内容:[GLOBAL]Version=6.0.0.2OpenFilesDownloadMode=ExclusivePacketTimeOut=300LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39这里多出了一行Localsetuppassword。
还是上传myservu.exe。
查看端口:netstat -an |find "43958"TCP 127.0.0.1:43958 0.0.0.0:0 LISTENING显然43958本地管理端口可用。
接着执行命令:D:\XXX\XXX\XXX\ myservu.exe 43958 "net user dqdd dqdd/add"因为设置了本地管理密码,显示不成功的信息,类似以下内容:******************************************************Serv-u <3.x Local Exploit by xiaolu>221 Serv-U FTP Server v6.0 for WinSock ready...>331 User name okay, need password.******************************************************#l@$ak#.lk;0@P>530 Not logged in.******************************************************考虑管理员修补这个漏洞是把程序里原来的密码#l@$ak#.lk;0@P改成了别的,那么他改完的密码也还在程序里,如果能把它给下载了,用Winhex或者Xhex来查找密码,就能够找到。
打开服务器上的海洋顶端2005,直接查看C:\Program Files\Serv-U\目录,看到文件列表,找到ServUAdmin.exe,用海洋顶端2005的"流下载"功能下载下来。
用Xhex打开了ServUAdmin.exe,使用快捷键Ctrl+F,输入LocalAdministrator,点搜索,密码和这个"LocalAdministrator"是一家子的,密码是"85457845152145"。
显然这里管理员并没有修改用户名,那要是修改了我们怎么搜索?其实也好办,可以找一个和同一版本的正常Serv-U的ServUAdmin.exe,搜索"LocalAdministrator",找到它的偏移地址记下,然后再打开第一个ServUAdmin.exe,快捷键Ctrl+G,跳转到这个地址就可以找到用户名和密码了(图一)。
那要是管理员改了端口呢?可以直接在Webshell里执行Netstat -an,找找127.0.0.1:XXXXX端口。
修改管理端口容易出现错误。
图1 用Xhex打开了ServUAdmin.exe找密码接着,建立ok.txt文件,ok.txt内容:用户名(或ok)密码(或ok)使用命令myservu 端口号"命令" <ok.txt,就能顺利执行了,例如:D:\XXX\XXX\XXX\myservu.exe 43958 "net user dqdd dqdd/add"D:\XXX\XXX\XXX\myservu.exe 43958 "net localhost administrators dqdd /add"把dqdd帐户加到管理员组,到这里,我们就取得了超级用户的权限,可以进一步控制整个服务器。
3.SERV-U 6.0.0.2版安全设置3.1 IIS安全至于黑客怎样得到webshell,我进行了全面测试。
常规的基于asp的sql注入漏洞不存在,并且留言簿、远程教育、教师进修学校、德清学院旧版等栏目都没有打开上传文件的管理页面,论坛、电大在线也无法上传asp类型文件,视频点播、电子公务系统、计算机文化基础都安装在IBM服务器上。
就是电子邮件系统能不能上传asp附件我没有试过。
赶紧试试,给自己写一封信,附加海阳顶端网ASP木马,发邮件,再转到收件箱,已经收到了,复制附件的地址,修改后粘贴到地址栏执行,竟然没有出错。
看来是我在安装CMailServer 5.2的时候错设了邮箱虚拟目录的执行权限。
接着再运行木马,非常顺利,上传myservu.exe,虽然这时候诺顿杀毒软件检测到了海阳木马并把它进行了隔离。
不过,这确实是黑客攻击的一条捷径。
重装系统,由于光驱、软驱的读盘问题,用去了半天时间。
在重新连接到网络之前,安装了所有的安全补丁,只有这样才会使系统不受后门和攻击者的影响。
尽量只配置系统要提供的服务,取消了那些没有必要的服务。
改变密码当然是必须做的,因为很可能黑客已经窃取了超级用户帐号密码,这次改用了15位长的密码。
在本地安全策略中,重新规划帐户策略和本地策略。
安装费尔防火墙,尽管功能有限,有总比没有强。
后面的重点当然是IIS权限的规划,把CMailServer 5.2的邮箱虚拟目录、以及所有上传文件路径的访问权限都设置为不可执行。
3.2 SERV-U 6.0.0.2版安全设置SERV-U存在安全漏洞,首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞,即利用一个账号可以轻易的得到SYSTEM权限。