1.11 Serv-U密码破解
Serv-U是一款流行的Ftp服务器,很多Web服务器都是用Serv-U来提供Ftp服务,供网站使用者或者设计者上传和下载文件的。Serv-U在Web渗透中会经常遇到,在权限等合适的情况下,可以通过WebShell直接获得服务器权限。Serv-U提权在后面的章节中会有介绍。Serv-U早期版本采用MD5加密,在获取Serv-U这个文件夹下的ServUDaemon.ini文件后可以对Ftp用户密码进行破解。Serv-U的加密算法如下:
第一步,随机产生两个字符。
第二步,将第一步产生的字符串加上你需要的密码一起MD5。
第三步,将第一步的两个字符加上第二步产生的MD5编码的大写加在一起就行了。
下面以一个实际案例介绍如何破解Serv-U的密码。
1.11.1 获取ServUDaemon.ini文件
Serv-U安装目录一般位于“C:\program files\Serv-U\”,当然也有位于其他位置,具体安装路径由程序安装者来决定,在获得WebShell权限的情况下,如果服务器上还安装了Serv-U,找到Serv-U的安装目录,将ServUDaemon.ini复制到本地留待后面进行破解,如图1-82所示。
1.11.2 查看ServUDaemon.ini文件
配置文件对大小写不敏感,行与行之间允许空行主要分为[GLOBAL]全局变量段和[DOMAINS]域名配置段。[GLOBAL]全局变量段,主要设置SERV-U的注册号以及刷新标志。[DOMAINS]域名配置段,包括在Serv-U下添加的所有域信息以及域以下用户列表。
图1-82 ServUDaemon.ini文件
[GLOBAL] Version=5.0.0.0 #无须改动.版本号 RegistrationKey=HsVRCjxHMe/HwDOrrUxqeMuChKO0DdlzUy2tCGgcdMVQDs/7P9EdwjKr owsPF//h4YObIvknAH/FHA95cfEyb3wzQp2v7UfOzCFEFq722 #无须改动.产品注册码 ProcessID=1172 #无须改动.注册号 ReloadSettings=True #在修改ini文件后须加入此项,这时Serv-U会自动刷新配置文件并生效,此项随之消失,再有修改再次添。 [DOMAINS] Domain1=0.0.0.0||21|Wizard Generated Domain|1|0|0 #无须改动,新增加的域的IP地址以及说明,格式 # Domain1= IP地址 | 端口 | 域显示名称 | 是否生效 | 是否显示 | 是否删除 #IP地址为0.0.0.0时,Serv-U自动适配系统所分配的IP地址 #当生效位置0,则此域禁用 #当显示位置0,此域不生效并且在控制面板不显示此项 #当删除位置0,则ReloadSettings设置为Ture后,即刷新后,自动删除此域名以下所有内容 [Domain1] #无须改动,与上面添加的域对应,是此域内的一些公共设置 User1=admin|1|0 #必填.用户列表 # 格式 # User序号 = 用户名 | 是否生效 | 是否删除 #User添加时必须按照序号排列,如果跳号,则跳号的不生效。如果序号重复,则排列在后的无效。 #是否生效置0,则此用户禁用 #是否删除置1,则刷新后删除用户信息,包括配置。如果置2,则域下所有用户均删除。 [USER=admin|1] #用户配置段,这些段的排列不分先后 TimeOut=600 Maintenance=System Note1="Administrator User" Access1=g:\|RWAMELCDP
在Serv-U密码破解中我们需要注意用户的配置,也就是ServUDaemon.ini文件中涉及用户9个参数,一个用户对应一套参数配置,具体参数举例如下:
[USER=zt828|1] 表示用户为zt。 password=mk7DC2A4B1A9A9E1F52A7F967FBCAA0A37表示ftp用户zt828的密码为“mk7DC2A4B1A9A9E1F52A7F967FBCAA0A37”。 HomeDir=d:\wwwroot\zt828表示默认主目录为“d:\wwwroot\zt828”。 MaxNrUsers=10表示最大用户连接数为10个。 RelPaths=1表示是否锁定用户到主目录,1表示锁定。 ChangePassword=1 表示是否可以修改密码,1表示可以。 DiskQuota=1|104857600|0 磁盘分配大小为100MB(100×1024×1024)。 SpeedLimitUp=102400 上传速度限制为100k/s。 SpeedLimitDown=102400 下载速度限制为100k/s。 Access1=d:\wwwroot\zt828|RL 读取和列表d:\wwwroot\zt828目录。
1.11.3 破解Serv-U密码
以上面的zt828用户配置为例,将密码mk7DC2A4B1A9A9E1F52A7F967FBCAA0A37的mk去掉,将其复制到MD5.com网站进行破解,如图1-83所示,密码可以被破解,不过需要购买。单击“购买”按钮即可获得其查询的MD5值,如图1-84所示。
图1-83 通过MDS.com网站查询MD5密码
图1-84 获取MD5破解后的密码
“7DC2A4B1A9A9E1F52A7F967FBCAA0A37”是采用MD5进行加密的,其密码为mkok918918,去掉mk即为Ftp的密码“ok918918”。
1.11.4 验证Ftp
可以使用Ftp IP地址进行登录,输入用户名“zt828”和密码“ok918918”,成功登录Ftp服务器,如图1-85所示,正常进入后可以查看网站的源代码,上传WebShell,获取数据库用户和密码等。
图1-85 成功进入Ftp服务器