[讨论]关于serv-u 讨论

jjcd

[讨论]关于serv-u
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
文章作者：1051203220

本人得到一webshell,然后用webshell附带的serv-u提权功能顺利添加用户，开3389然后进入系统。
然后我想使这台机防止serv-u提权，可是小弟不明白，是不是serv-u提权必须用到43958端口，那么又如何防止43958端口被用来提权，我也看过一些方法，不过还是有些疑惑
1。我看到一些资料上的serv-u提权，但好象基本上都是6.0以下版本，所以我想问一下，在6.0以上版本，在默认管理密码以及端口没改变的情况下，43958是不是还可以用来提权？
2。我还看到一些方法，说可以改默认端口，但是它又说serv-U v6以下版本有远程缓冲区溢出漏洞不建议使用这种方法，所以我想问，在6。0以上版本是不是改默认管理端口是个比较完美的方法？
3。还有我试过用ip安全策略来防止别人来连接43958，可是43958是本地端口，如果别人用端口转发，就变成自己连自己了，这样我试过ip安全策略不起作用，所以我就纳闷，有什么好方法把43958给保护好？（在不改端口号的情况下）

4。不知道防serv-u提权还有什么好方法，希望高手提点建议！
帖子7 精华0 积分21 阅读权限40 在线时间35 小时 注册时间2007-2-6 最后登录2008-2-8 查看详细资料TOP 您知道您年薪应是多少?

小暴
晶莹剔透§烈日灼然

pat1110

http://hi.baidu.com/%D0%A1%B1%A9 ... e7198da1ec9c22.html

文章给你看下。其他自己想吧！
帖子8 精华0 积分30 阅读权限40 在线时间85 小时 注册时间2007-3-9 最后登录2007-8-24 查看详细资料TOP 赚更多的钱

上帝在堕落
晶莹剔透§烈日灼然

彬彬

禁用WS组件，把权限设置变态点``` 赠人玫瑰，手留余香。

帖子41 精华0 积分131 阅读权限40 性别男 在线时间65 小时 注册时间2007-5-21 最后登录2008-6-21 查看详细资料TOP 软件项目外包

黑鹰晓华
晶莹剔透§烈日灼然

枝囡

最简单的是在本地设置一个密码..设置后你如果想登陆你的SERVU必须输入这个密码，才能进行操作.

帖子9 精华0 积分39 阅读权限40 性别男 来自网络 在线时间38 小时 注册时间2006-9-29 最后登录2008-7-13 查看详细资料TOP

兽兽
晶莹剔透§烈日灼然

就爱发动机

引用:
引用第3楼黑鹰晓华于2007-07-26 19:59发表的 :
最简单的是在本地设置一个密码..设置后你如果想登陆你的SERVU必须输入这个密码，才能进行操作.
貌似serv-u6.4就有了本地管理密码

帖子8 精华0 积分24 阅读权限40 在线时间16 小时 注册时间2005-12-10 最后登录2008-6-21 查看详细资料TOP 让女孩一夜变的更有女人味

power20
晶莹剔透§烈日灼然

lookyes

偶一般就是用软件把SU的默认密码改了 LocalAdministrator，默认密码：#l@$ak#.lk;0@P 随便改一下 自己记得就OK了 方便自己下次近来
帖子4 精华0 积分10 阅读权限40 在线时间16 小时 注册时间2007-2-8 最后登录2008-6-7 查看详细资料TOP 少女暴富的隐秘（图）

cheng4306
晶莹剔透§烈日灼然

szyuewei

在这里借个地方问下
级别: 新手上路
精华: 0
发帖: 1
威望: 2 点
金钱: 10 点
贡献: 0 点
资历: 0 点
在线时间:16(小时)
注册时间:2007-02-06
最后登录:2007-07-25

凭什么他可以发帖子讨论，我为什么就不能呢，我有问题想问呀
问题是:如何让asp木马使用cmd组件输入whoami得到的是administrators组的成员　window2003环境
帖子5 精华0 积分17 阅读权限40 在线时间21 小时 注册时间2007-3-23 最后登录2008-5-1 查看详细资料TOP 让女孩一夜变的更有女人味

linuxman
荣誉会员

weimei

给su服务降权就啥都解决了?俺寔鈫訕随煈爾紶?

帖子175 精华4 积分-483 阅读权限100 性别男 在线时间138 小时 注册时间2005-2-20 最后登录2008-6-18 查看详细资料TOP

gxm
荣誉会员

zy530900999

第一，把默认端口和默认密码改掉
第二，确保serv-U版本在6.3以上
第三，把安装serv-U的目录的控制权限修改
第三，在C:\Documents and Settings\All Users\「开始」菜单\程序\中删除关于serv-U的文件信息。以防入侵者下载回来能看到su的安装目录。或者把这个目录的控制权限设置的严格一点。
以上是服务器管理员惯用的方法
帖子43 精华0 积分3206 阅读权限100 性别男 在线时间29 小时 注册时间2007-1-13 最后登录2008-6-30 查看详细资料TOP

popii11
晶莹剔透§烈日灼然

忘记密码

在默认管理密码以及端口没改变的情况下，43958是不是还可以用来提权？

肯定的哈~什么都不该那怎么不可能用来提权?提权都用的local的~
帖子6 精华0 积分20 阅读权限40 性别男 在线时间8 小时 注册时间2007-7-30 最后登录2007-10-24 查看详细资料TOP

achillis
晶莹剔透§烈日灼然

edchen

改个本地管理密码,自己知道就行了.这样别人用默认的就没法提权了.

这个问题我也很想知道啊:
引用:
引用第6楼cheng4306于2007-07-29 23:35发表的 :
在这里借个地方问下
级别: 新手上路
精华: 0
发帖: 1
威望: 2 点
.......学习中.......

帖子54 精华0 积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18 查看详细资料TOP

1051203220
晶莹剔透§烈日灼然

tdlxdj

我知道可以改默认密码,但是你会改别人也会下载ServUDaemon,然后看你改的,虽然可以把目录权限设置一下,让他下载不了,但这样总感觉不爽,我的意思是想在端口上封死别人
帖子7 精华0 积分21 阅读权限40 在线时间35 小时 注册时间2007-2-6 最后登录2008-2-8 查看详细资料TOP

小暴
晶莹剔透§烈日灼然

ken2

你连目录权限设置，都会觉得不爽，你是要好看还是要安全啊？

ip安全策略--这项你不必去设置，没看见13里面的木马都是 本机127.0.0.1 连接提权的啊？

你想跟人家封死了

按我上帖说的。再把，FTP 21端口修改了，本地管理 43958端口修改了，设置Serv-U 目录权限，设置 程序 目录权限。(绝对隐藏,一般人不会发现.)

删除 wscript.shell; 权限设置或删除,CMD.exe，NET.exe,Net1.exe ,netstat.exe,cacls.exe......

可以肯定的跟你说,别人绝对不能通过Serv-U默认密码来提权.
帖子8 精华0 积分30 阅读权限40 在线时间85 小时 注册时间2007-3-9 最后登录2007-8-24 查看详细资料TOP

67469696
晶莹剔透§烈日灼然

aaronliu

删除 wscript.shell; 权限设置或删除,CMD.exe
禁止上传EXE文件 哈哈  断口改了，本地密码也改了基本就查不多了
帖子7 精华0 积分14 阅读权限40 在线时间21 小时 注册时间2007-4-30 最后登录2008-7-14 查看详细资料TOP

pixy
荣誉会员

1382926094

大家东说西说，让我都产生了幻觉!  

楼主提到的是Ser-u,那么我们就对这个提出讨论
Ser-u现在提权都是利用默认端口和默认密码,默认用户.改变了密码或者端口都不会生效..

#l@$ak#.lk;0@P,我们可以用UltraEdit改一下，改为其他的，只要字符串对应可以就行...
貌似现在最新版本是6.4,其实是6.4我都没有提权利用Ser-u.曾听到剑还是E人说，6.4是一样的，原理没变.

我们就考虑在有0day的前题下，我们改默认密码就可以防御的。

至于其他安全设置，各有各的道路，不必多说了!

楼主问了那么多，还需要转43958端口，我觉的都是没必要，改默认密码就可以的...
如果你还担心被猜出来密码，建议你还不要把ser-u装在默认的C下，把名字改复杂点，然后访问权限我想你应该知道怎么调.
拒绝读取 只给Administrator system可选,给权限..就OK!

应该可以结帖!
睡觉!

与狼共舞！

帖子395 精华10 积分4278 阅读权限100 性别男 来自China 在线时间284 小时 注册时间2007-1-3 最后登录2008-7-18 查看详细资料TOP

憶楓
晶莹剔透§烈日灼然

轻舞飞扬

呵呵现在的服务是越来月不好提权了 我这里有个是SU提权的 发布出来大家看看 只要有FTP帐号密码 就可以提升为系统管理员权限
晕了 没有上传权限 http://yifeng888.ys168.com/ 放这里了自己去下
帖子14 精华0 积分41 阅读权限40 在线时间4 小时 注册时间2007-4-17 最后登录2008-7-18 查看详细资料TOP

风云逸剑
晶莹剔透§烈日灼然

last

就算是你把端口改了，默认密码也改了。
但，把提权程序也作相应的改变，一样是可以添加用户的。当然改了可以防止别人提权，看楼主的意思，貌似重点想讨论的低版本缓冲区溢出漏洞，软件本身的漏洞，很复杂，但个人觉得，可以设置权限来进行相应的弥补。大家可以重点讨论这个..
帖子66 精华0 积分212 阅读权限40 性别男 在线时间181 小时 注册时间2006-4-12 最后登录2008-7-23 查看详细资料TOP

＂进口處娚丶
晶莹剔透§烈日灼然

bbbbf

在SU的目录下。。

把#l@$ak#.lk;0@P修改下。。

或者装SU最新版本。。以上的版本是无之前的漏洞的www.1000jay.com

帖子25 精华0 积分84 阅读权限40 性别男 在线时间8 小时 注册时间2007-2-17 最后登录2008-2-1 查看详细资料TOP

sunwear
团队执行官

sunnygirl

引用:
引用第20楼＂进口處娚丶于2007-08-29 10:13发表的 :
在SU的目录下。。

把#l@$ak#.lk;0@P修改下。。

或者装SU最新版本。。以上的版本是无之前的漏洞的
改密码已经没用了。
可以读出密码。

帖子3777 精华70 积分18704 阅读权限200 性别男 来自天津 在线时间1647 小时 注册时间2004-8-16 最后登录2008-7-23 查看个人网站
查看详细资料TOP

icexiaoye
荣誉会员

周星星

引用:
引用第6楼cheng4306于2007-07-29 23:35发表的 :
凭什么他可以发帖子讨论，我为什么就不能呢，我有问题想问呀
问题是:如何让asp木马使用cmd组件输入whoami得到的是administrators组的成员　window2003环境
去普通会员发帖提交
whoami？这个是什么指令啊
我是谁？？

输个net localgroup administrators不就好了吗

玩世不恭彼此 ⌒ ˇ互相鼓励信任 認眞體驗每⒈兲.!﹏演藝⒉.個亾啲莞鎂傳奇( [淇]儭滗.

帖子728 精华4 积分5182 阅读权限100 性别男 在线时间255 小时 注册时间2006-8-7 最后登录2008-7-14 查看个人网站
查看详细资料TOP

追寻
荣誉会员