权限浅谈Serv_UFTP服务器漏洞的修补

浅谈Serv-U FTP服务器漏洞的修补

陈运财

广东工程职业技术学院 广东 510520

【摘要】 Serv-U是一个极为强大的FTP服务器软件界面简洁容易上手不论是商业用途还是自己搭个人FTP它几乎成了首选软件而近两年不断爆出的各个版本的安全漏洞却让大家在使用Serv-U时不得不多留个心眼。

【关键词】 FTP漏洞服务器

中图分类号 TP393.093 文献标识码 A 文章编号 1009-6833 2014 04-043-02

On the Serv-U F TP server vulnerab ilitie s repair

Chen Yun cai

Abstract  Serv-U is an extremely powerful FTP server software  the interface is simple easy to use whether it is commercial use or take a personal FTP it almost became the preferred software security vulnerabilities  various versions over the last two years of thecontinuous burst but let you use Serv-U to stay in mind

Keyword s  FT P vulner ability  server

0 引言 置信息写入扩展名为ini的文件大部分攻击者会对目标主机

FT P的全称是File Transfer Protocol 文件传输协议 就是 web服务进行渗透入境如利用流行的SQL注入上传漏洞来专门用来传输文件的协议。而FT P服务器则是在互联网上提 进行入侵 进而对 Serv-U的安装目录实施篡改 将供存储空间的计算机它们依照FTP协议提供服务。 Serv-U FTP ServUDaemon ini文件替换为自己设定好的拥有执行权限的配服务器软件是一种被广泛运用的 FTP服务器端软件支持 置信息 以此来获取管理员身份特权。

3x/9x/ME/NT/2K等全Windows系列。它具有非常完备的安全 3利用Serv-U FTP服务器漏洞进行攻击

特性支持SSL FTP传输支持在多个Serv-U和FTP客户端 Serv-U FTP Server服务器软件可以运行在任何Windows操通过SSL加密连接保护您的数据安全等。 作系统平台下 因此任何安装过该程序的主机都存在该漏洞1 Serv-UFTP服务器漏洞 可通过攻击它获得权限提升。 当在本地使用普通账户登录

Serv-U是目前众多的FTP服务器软件之一。通过使用 Windows操作系统 并使用 Serv-U FTP服务器攻击工具Serv-U用户能够将任何一台P C设置成一个FT P服务器这 servu exe进行账户权限提升操作步骤如下

命令。 第二步建立一个FTP用户目录根目录赋予Administrators2 攻击Serv-U FTP Server的方式 完全控制权限 System只读权限。 第三步为每个用户创建各

当前常用的攻击Serv-U FTP Server软件的方式主要有嗅探 自的目录并赋予如下安全策

窃听、漏洞溢出、账号隐藏、恶意攻击、权限提升5种其中 略删除Everyone group该System accounts folders完全控制漏洞溢出是指一般情况下攻击者在确定系统版本有溢出漏洞 添加给用此目录的用户完全访问控制。

之后会自己编译或在网络上寻找所对应的溢出漏洞攻击工具 第四步通过Serv-U设置用户权限取消“执行”权限。在对目标系统进行溢出如成功将会取得目标系统的系统权限 Web目录中去掉执行权限 以防止取得we bshell后运行攻击程由于Serv-U默认是以syst em权限运行的所以溢出成功后 序来对Serv-U进行攻击。在进行权限设置的时候请遵循基本规所得到的权限为sy st em权限。权限提升是指如果Serv-U把配 律有特殊属性的放在前面共用属性的放在后面此外针

下转第45页

查找按字段StudentID等于用户本次单击的ID号的记录并显示 若输入的ID号不存在则插入一个新记录。接下来程序执行导该记录字段LastName、 FisrtName、Mi ddleName的内容。 航图标访问数据库执行相应的操作 即完成记录的更新或

当用户单击了某个ID号后首先完成变量DB_SQL String 插入新记录。

入响应来实现条件响应可确保输入内容不为空 附属计算图 计算图标“Send SQL Command”进行查询操作并将查标对输入的数据进行处理如将输入的英文字母去除空格、转 询结果存于变量DB_ODBCData中。

化为大写等等 。 计算图标“Check for ODBC Error”判断是否连接出错借助

的ID number存放在变量DB_StudnetID中利用函数Find判

上接第43页 大到集团 只要BU G一发现针对漏洞的攻击代码一流传起

现在Serv-U FTP服务器在国内应用相当广泛小到个人