浅谈Serv-U FTP服务器漏洞的修补
陈运财
广东工程职业技术学院 广东 510520
【摘要】 Serv-U是一个极为强大的FTP服务器软件界面简洁容易上手不论是商业用途还是自己搭个人FTP它几乎成了首选软件而近两年不断爆出的各个版本的安全漏洞却让大家在使用Serv-U时不得不多留个心眼。
【关键词】 FTP漏洞服务器
中图分类号 TP393.093 文献标识码 A 文章编号 1009-6833 2014 04-043-02
On the Serv-U F TP server vulnerab ilitie s repair
Chen Yun cai
Abstract Serv-U is an extremely powerful FTP server software the interface is simple easy to use whether it is commercial use or take a personal FTP it almost became the preferred software security vulnerabilities various versions over the last two years of thecontinuous burst but let you use Serv-U to stay in mind
Keyword s FT P vulner ability server
0 引言 置信息写入扩展名为ini的文件大部分攻击者会对目标主机
FT P的全称是File Transfer Protocol 文件传输协议 就是 web服务进行渗透入境如利用流行的SQL注入上传漏洞来专门用来传输文件的协议。而FT P服务器则是在互联网上提 进行入侵 进而对 Serv-U的安装目录实施篡改 将供存储空间的计算机它们依照FTP协议提供服务。 Serv-U FTP ServUDaemon ini文件替换为自己设定好的拥有执行权限的配服务器软件是一种被广泛运用的 FTP服务器端软件支持 置信息 以此来获取管理员身份特权。
3x/9x/ME/NT/2K等全Windows系列。它具有非常完备的安全 3利用Serv-U FTP服务器漏洞进行攻击
特性支持SSL FTP传输支持在多个Serv-U和FTP客户端 Serv-U FTP Server服务器软件可以运行在任何Windows操通过SSL加密连接保护您的数据安全等。 作系统平台下 因此任何安装过该程序的主机都存在该漏洞1 Serv-UFTP服务器漏洞 可通过攻击它获得权限提升。 当在本地使用普通账户登录
Serv-U是目前众多的FTP服务器软件之一。通过使用 Windows操作系统 并使用 Serv-U FTP服务器攻击工具Serv-U用户能够将任何一台P C设置成一个FT P服务器这 servu exe进行账户权限提升操作步骤如下
命令。 第二步建立一个FTP用户目录根目录赋予Administrators2 攻击Serv-U FTP Server的方式 完全控制权限 System只读权限。 第三步为每个用户创建各
当前常用的攻击Serv-U FTP Server软件的方式主要有嗅探 自的目录并赋予如下安全策
窃听、漏洞溢出、账号隐藏、恶意攻击、权限提升5种其中 略删除Everyone group该System accounts folders完全控制漏洞溢出是指一般情况下攻击者在确定系统版本有溢出漏洞 添加给用此目录的用户完全访问控制。
之后会自己编译或在网络上寻找所对应的溢出漏洞攻击工具 第四步通过Serv-U设置用户权限取消“执行”权限。在对目标系统进行溢出如成功将会取得目标系统的系统权限 Web目录中去掉执行权限 以防止取得we bshell后运行攻击程由于Serv-U默认是以syst em权限运行的所以溢出成功后 序来对Serv-U进行攻击。在进行权限设置的时候请遵循基本规所得到的权限为sy st em权限。权限提升是指如果Serv-U把配 律有特殊属性的放在前面共用属性的放在后面此外针
下转第45页
查找按字段StudentID等于用户本次单击的ID号的记录并显示 若输入的ID号不存在则插入一个新记录。接下来程序执行导该记录字段LastName、 FisrtName、Mi ddleName的内容。 航图标访问数据库执行相应的操作 即完成记录的更新或
当用户单击了某个ID号后首先完成变量DB_SQL String 插入新记录。
入响应来实现条件响应可确保输入内容不为空 附属计算图 计算图标“Send SQL Command”进行查询操作并将查标对输入的数据进行处理如将输入的英文字母去除空格、转 询结果存于变量DB_ODBCData中。
化为大写等等 。 计算图标“Check for ODBC Error”判断是否连接出错借助
的ID number存放在变量DB_StudnetID中利用函数Find判
上接第43页 大到集团 只要BU G一发现针对漏洞的攻击代码一流传起
现在Serv-U FTP服务器在国内应用相当广泛小到个人
HostKvm又上新了,这次上架了2个线路产品:俄罗斯和香港高防VPS,其中俄罗斯经测试电信CN2线路,而香港高防VPS提供30Gbps攻击防御。HostKvm是一家成立于2013年的国外主机服务商,主要提供基于KVM架构的VPS主机,可选数据中心包括日本、新加坡、韩国、美国、中国香港等多个地区机房,均为国内直连或优化线路,延迟较低,适合建站或者远程办公等。俄罗斯VPSCPU:1core内存:2G...
PacificRack最近促销上瘾了,活动频繁,接二连三的追加便宜VPS秒杀,PacificRack在 7月中下旬已经推出了五款秒杀VPS套餐,现在商家又新增了三款更便宜的特价套餐,年付低至7.2美元,这已经是本月第三波促销,带宽都是1Gbps。PacificRack 7月秒杀VPS整个系列都是PR-M,也就是魔方的后台管理。2G内存起步的支持Windows 7、10、Server 2003\20...
Contabo是一家运营了20多年的欧洲老牌主机商,之前主要是运营德国数据中心,Contabo在今年4月份增设新加坡数据中心,近期同时新增了美国纽约和西雅图数据中心。全球布局基本完成,目前可选的数据中心包括:德国本土、美国东部(纽约)、美国西部(西雅图)、美国中部(圣路易斯)和亚洲的新加坡数据中心。Contabo的之前国外主机测评网站有多次介绍,他们家的特点就是性价比高,而且这个高不是一般的高,是...