La primera es la vulnerabilidad SITE CHMOD de SERV-U y la vulnerabilidad Serv-U MDTM, lo que significa que puede obtener fácilmente permisos del SISTEMA utilizando una cuenta. La segunda es la vulnerabilidad de desbordamiento local de Serv-u, es decir, Serv-U tiene un usuario administrativo predeterminado (nombre de usuario: localadministrator, contraseña: #|@$ak#.|k;0@p), cualquiera puede acceder a él a través de one La cuenta con el puerto local 43958 puede agregar o eliminar cuentas a voluntad y ejecutar cualquier comando interno y externo.
En ese momento, la gente comenzó a prestar atención a la seguridad de SERV-U y tomó algunas medidas relevantes, como modificar el puerto de administración, el número de cuenta y la contraseña de SERV-U. Sin embargo, el contenido modificado aún se conserva en el archivo ServUDaemon.exe, por lo que después de descargarlo, puede obtener fácilmente el puerto, la cuenta y la contraseña modificados utilizando un software de edición hexadecimal como UltraEdit.
A partir de SERV-U6.0.0.2, el software tiene una función de contraseña de inicio de sesión. Si se agrega una contraseña de administración y la configuración está configurada correctamente, SERV-U será mucho más seguro que antes. Ahora comenzamos el viaje de configuración de SERV-U, utilizando la versión SERV-U 6.0.0.2.
Como dice el viejo refrán, una torre de mil pies comienza con los cimientos y la seguridad de SERV-U comienza con la instalación. Este artículo escribe principalmente sobre la configuración de seguridad de SERV-U, por lo que no dedicará demasiado tiempo a presentar la instalación, solo los puntos clave.
SERV-U está instalado en el directorio C:Program FilesServ-U de forma predeterminada. Será mejor que hagamos algunos cambios. Por ejemplo, si el usuario WEB con la letra de la unidad de instalación no puede navegar, le resultará difícil adivinar la ruta de instalación. Por supuesto, después de la instalación, se generará un acceso directo en el escritorio y en el menú de inicio. Se recomienda eliminarlo porque generalmente no se usa. Es posible que desee preguntar cómo ingresar a la interfaz de configuración de SERV-U. En realidad, es muy simple. Haga doble clic en el pequeño ícono de Tray Monitor en la barra de tareas en la esquina derecha para iniciar la interfaz de administración de SERV-U.
Figura 1: Modificar el directorio de instalación
Al instalar, simplemente seleccione los dos primeros elementos. Los dos siguientes son instrucciones y archivos de ayuda en línea. (Ver Figura 2)
Figura 2: Solo es necesario seleccionar los dos primeros elementos durante la instalación. La siguiente figura es el nombre de la carpeta en el grupo del menú de inicio generado. Se recomienda cambiarlo a un nombre que se parezca menos a SERV-U o eliminarlo. la carpeta. (Ver Figura 3)
Figura 3: Cambiar el nombre de la carpeta en el grupo del menú de inicio generado después de la instalación
[Cortar-Página]
Una vez completada la instalación, aparecerá un asistente que le permitirá crear un dominio y una cuenta. Haga clic en Cancelar aquí para cancelar el asistente. La cuenta generada por el asistente causará algunos problemas, por lo que el dominio y la cuenta se crean manualmente a continuación. (Ver Figura 4)
Figura 4: Haga clic en Cancelar para cancelar el asistente
Luego haga clic en la opción frente a Iniciar automáticamente (servicio del sistema) y luego haga clic en el botón Iniciar servidor a continuación para agregar SERV-U al servicio del sistema, de modo que pueda iniciarse con el sistema sin tener que iniciarlo manualmente cada vez. (Ver Figura 5)
Figura 5: Agregar SERV-U al servicio
A continuación, aparecerá la interfaz que se muestra en la Figura 6. Establezca una contraseña haciendo clic en Establecer/Cambiar contraseña.
Figura 6: Haga clic en Establecer/Cambiar contraseña para establecer la contraseña
[Cortar-Página]
Luego aparecerá la interfaz que se muestra en la Figura 7. Debido a que es la primera vez que lo usa, no hay contraseña, lo que significa que la contraseña original está vacía. No es necesario ingresar caracteres en la contraseña anterior. Simplemente ingrese la misma contraseña en Nueva contraseña y Repita la nueva contraseña a continuación y haga clic en Aceptar. Aquí se recomienda establecer una contraseña que sea lo suficientemente compleja como para evitar que otros puedan descifrarla por fuerza bruta. No importa si no puede recordarlo. Simplemente borre y guarde la línea LocalSetupPassword= en ServUDaemon.ini y no se le pedirá que ingrese su contraseña para iniciar sesión cuando ejecute ServUAdmin.exe nuevamente.
Figura 8: Cree una cuenta de WINDOWS
Después de crear la cuenta, haga doble clic en el usuario creado para editar las propiedades del usuario y eliminar el grupo USUARIOS de "Pertenece a".
Figura 9: Eliminar grupo USUARIOS de la afiliación
Desmarque "Permitir inicio de sesión en Terminal Server (W)" de la opción "Perfil de Servicios de Terminal Server" y haga clic en Aceptar para continuar con nuestra configuración. (Ver Figura 10)
Figura 10: Cancelar "Permitir inicio de sesión en Terminal Server"
Hemos creado una cuenta aquí y es hora de configurarla en el servicio. Ahora necesitamos usar la cuenta que acabamos de crear. Aún no has olvidado la contraseña, por lo que la necesitarás pronto.
[Cortar-Página]
Busque "Servicios" en las herramientas de administración del menú de inicio y haga clic para abrirlo. Haga clic derecho en "Servicio de servidor FTP Serv-U" y seleccione Propiedades para continuar.
Luego haga clic en "Iniciar sesión" para ingresar a la interfaz de selección de cuenta de inicio de sesión. Seleccione el nombre de la cuenta del sistema que acaba de crear e ingrese la contraseña de la cuenta dos veces (la que se le pidió recordar hace un momento), luego haga clic en "Aplicar" y haga clic en Aceptar nuevamente para completar la configuración del servicio. (Ver Figura 11)
Figura 11: Cambie la contraseña de la cuenta para iniciar e iniciar sesión en SRV-U. A continuación, debe usar la herramienta de administración FTP para crear un dominio, luego crear una cuenta y luego elegir guardarla en el registro. (Ver Figura 12)
Figura 12: La contraseña del usuario FTP se guarda en el registro
Abra el registro para probar los permisos correspondientes; de lo contrario, SERV-U no se iniciará. Ingrese regedt32 en Inicio->Ejecutar y haga clic en "Aceptar" para continuar.
Busque la rama [HKEY_LOCAL_MACHINESOFTWARECat Soft]. Haga clic derecho sobre él, seleccione Permisos, luego haga clic en Avanzado, cancele el permiso para que los permisos heredados de los padres se propaguen a este objeto y a todos los objetos secundarios, incluidos los definidos explícitamente aquí, haga clic en "Aplicar" para continuar y luego elimine todas las cuentas. Haga clic en el botón "Aceptar" nuevamente para continuar. Aparecerá un cuadro de diálogo que dice "Has negado el acceso a Cat Soft a todos los usuarios. Nadie puede acceder a Cat Soft y solo el propietario puede cambiar los permisos. ¿Quieres continuar?", haz clic en "Sí" para continuar. Luego haga clic en el botón Agregar para agregar la cuenta SSERVU que creamos a la lista de permisos de la subclave y otorgar permisos de control total. El registro se ha creado aquí. Pero SERV-U aún no se puede reiniciar porque el directorio de instalación aún no se ha configurado.
Configúrelo ahora, mantenga solo su cuenta administrativa y su cuenta SSERVU, y otorgue todos los permisos excepto el control total. (Ver Figura 13)
Figura 13: Configuración de permisos del directorio de instalación de SERV-U
Ahora, reinicie el servicio del servidor FTP Serv-U en el servicio y se iniciará normalmente. Por supuesto, la configuración no se ha completado por completo aquí. Su usuario de FTP aún no puede iniciar sesión porque no tiene permisos, por lo que aún necesita configurar los permisos del directorio.
Supongamos que tiene un directorio WEB, la ruta es d:web. Luego elimine todos excepto el administrador y los usuarios de IIS en la "Configuración de seguridad" de este directorio, y luego agregue la cuenta SSERVU. Recuerde eliminar también la cuenta SISTEMA. ¿Por qué necesitamos configurarlo así? Debido a que SERV-U ahora se inicia con la cuenta SSERVU en lugar de los permisos del SISTEMA, ya no usa el SISTEMA para acceder al directorio, pero SSERVU en este momento ya no es útil, por lo que incluso si se desborda, no lo hará. obtener permisos del SISTEMA. Además, el directorio raíz del disco donde se encuentra el directorio WEB también debe configurarse para permitir los permisos de navegación y lectura de la cuenta SSERV-U, y confirmar que solo esta carpeta esté configurada en la configuración avanzada. (Ver Figura 14)
Figura 14: Configuración de permisos del disco donde se encuentra el directorio WEB
En este punto, se completan todas las configuraciones. La configuración actual de SERV-U se establece junto con IIS. Debido a que se utilizan diferentes cuentas con IIS, es imposible para los usuarios WEB acceder al directorio SERV-U y el directorio WEB no otorga permisos del SISTEMA, por lo que la cuenta del SISTEMA no puede. acceder al directorio WEB En otras palabras, incluso si usa MSSQL para obtener permisos de copia de seguridad, no puede realizar una copia de seguridad de SHELL en su directorio WEB. Puede utilizar SERV-U de forma segura.
Una vez completada la instalación, aparecerá un asistente que le permitirá crear un dominio y una cuenta. Haga clic en Cancelar aquí para cancelar el asistente. La cuenta generada por el asistente causará algunos problemas, por lo que el dominio y la cuenta se crean manualmente a continuación. (Ver Figura 4)
Figura 4: Haga clic en Cancelar para cancelar el asistente
Luego haga clic en la opción frente a Iniciar automáticamente (servicio del sistema) y luego haga clic en el botón Iniciar servidor a continuación para agregar SERV-U al servicio del sistema, de modo que pueda iniciarse con el sistema sin tener que iniciarlo manualmente cada vez. (Ver Figura 5)
Figura 5: Agregar SERV-U al servicio
A continuación, aparecerá la interfaz que se muestra en la Figura 6. Establezca una contraseña haciendo clic en Establecer/Cambiar contraseña.
Figura 6: Haga clic en Establecer/Cambiar contraseña para establecer la contraseña