【IT专家网独家】近日,在某安全论坛看到
SERV-U又暴新漏洞,该漏洞通杀包括SERV-U 6.4及其以前的所有版本。如果服务器安装了SERV-U,
攻击者在获得了网站的Webshell后利用该漏洞就可以进行提权,建立拥有管理员权限的帐户,进而完全控制服务器。 下面笔者搭建测试环境,利用该论坛提供的提权代码见图1进行漏洞测试。
服务器环境:
Windows 2003
server
IIS 6.0
Webshell
SERV-U 6.4
3389.exe(开远程桌面工具)
1、代码整合
拷贝图1所示的代码进行测试,将其整合到事先准备好的Webshell中,使其成为一个单独的SERV-U提权模块。(图2)
2、部署SERV-U
下载并安装最新的6.4版本的SERV-U,创建新
域Test_LW,并进行简单的设置最后启动SERV-U服务。(图3)
3、提权操作
在本地浏览器中运行Webshell,点击执行“提权工具”链接打开SERV-U提权模块,保持各项默认值不变点击“提交”按钮,显示命令成功执行。这样可在SERV-U的Test_LW域中添加一个用户名为
hacker,密码为hacker的用户。(图4)
4、提权效果
打开SERV-U管理控制台,果然在Test_LW域的“用户”下面多了一个hacker的用户。点击“目录访问”选项卡,可以看到该用户具有文件的“读取”、“写入”、“追加”、“删除”、“执行”权限,具有目录的“列表”、“创建”、“移除”和子目录的“继承”权限。这说明该用户拥有所有的权限即系统管理的权限。这就意味着该用户可以所有的系统命令,比如cmd命令行。(图5)
5、创建系统用户
在本地打开命令行(cmd.exe)输入命令:ftp 127.0.0.1 用户名为hacker,密码为hacker。显示:
230 User logged in, proceed说明成功登陆。
然后继续执行如下命令命令建立系统帐户:quote site exec
net user hacker$ hacker /add
命令成功执行。执行如下命令把hacker$用户添加到管理员组:quote site exec net localgroup administrators hacker$ /add 显示200 EXEC
command successful (TID=33)表明命令成功执行。(图6)
打开本地用户和组,可以看到多了一个权限为管理员的hacker$帐户。(图7)
6、执行木马
攻击者至此应该是通过FTP上传木马服务端了,笔者在C盘根目录下准备了一个开启3389远程桌面的工具就不上传了。继续执行命令:quote site exec c:\3389.exe,显示:200 EXEC command successful (TID=33).说明3389.exe被执行。查看本地“
进程管理器”可以看到3389.exe是以
system用户来运行的。(图8)
7、远程控制
在物理主机上运行“远程桌面连接”工具,输入虚拟机服务器的
IP地址192.168.1.12,及其用户名hacker$,密码hacker。连接成功,该服务器完全控制。(图9)
总结:利用SERV-U最新提权漏洞代码,我们通过创建SERV-U用户(hacker)然后登陆FTP服务器,创建具有管理员权限的hacker$用户,接着上传并运行3389.exe木马程序,到最后远程连接完全控制控制服务器,可见该漏洞的危害有多大了。
防范措施
(1).加固Web服务器,防范被植入Webshell。
(2).升级SERV-U或者改用其他第三方的FTP服务器软件。
(3).Web服务器和FTP服务器分离。特别提示,如果服务器不需要FTP服务,一定要卸载SERV-U。
(4).服务器安装杀毒软件和防火墙,预防上传木马和非法连接。
作者: 甘肃老五, 出处:IT专家网,
