La première est la vulnérabilité SITE CHMOD de SERV-U et la vulnérabilité Serv-U MDTM, ce qui signifie que vous pouvez facilement obtenir les autorisations SYSTEM en utilisant un compte. La seconde est la vulnérabilité de débordement local de Serv-u, c'est-à-dire que Serv-U a un utilisateur administratif par défaut (nom d'utilisateur : localadministrator, mot de passe : #|@$ak#.|k;0@p), n'importe qui peut y accéder via 1 Le compte avec le port local 43958 peut ajouter ou supprimer des comptes à volonté et exécuter toutes les commandes internes et externes.
À cette époque, les gens ont commencé à prêter attention à la sécurité de SERV-U et ont pris certaines mesures pertinentes, telles que la modification du port de gestion, du numéro de compte et du mot de passe de SERV-U. Cependant, le contenu modifié est toujours conservé dans le fichier ServUDaemon.exe. Ainsi, après le téléchargement, vous pouvez facilement obtenir le port, le compte et le mot de passe modifiés à l'aide d'un logiciel d'édition hexadécimal tel qu'UltraEdit.
À partir de SERV-U6.0.0.2, le logiciel dispose d'une fonction de mot de passe de connexion Si un mot de passe de gestion est ajouté et que les paramètres sont correctement définis, SERV-U sera beaucoup plus sûr qu'auparavant. Nous commençons maintenant le parcours de configuration de SERV-U, en utilisant la version SERV-U 6.0.0.2.
Comme le dit le vieil adage, une tour de mille pieds commence par la fondation, et la sécurité de SERV-U commence par l'installation. Cet article traite principalement des paramètres de sécurité de SERV-U, il ne passera donc pas trop de temps à présenter l'installation, mais uniquement les points clés.
SERV-U est installé par défaut dans le répertoire C:Program FilesServ-U. Nous ferions mieux d'apporter quelques modifications. Par exemple, si l'utilisateur WEB ne peut pas parcourir la lettre du lecteur d'installation, il lui sera difficile de deviner le chemin d'installation. Bien entendu, après l'installation, un raccourci sera généré sur le bureau et dans le menu démarrer. Il est recommandé de le supprimer car il n'est généralement pas utilisé. Vous voudrez peut-être demander comment accéder à l'interface de configuration de SERV-U ? C'est en fait très simple. Double-cliquez sur la petite icône Tray Monitor dans la barre des tâches dans le coin droit pour démarrer l'interface de gestion SERV-U.
Figure 1 : Modifier le répertoire d'installation
Lors de l'installation, sélectionnez simplement les deux premiers éléments. Les deux suivants sont des instructions et des fichiers d'aide en ligne. (Voir Figure 2)
Figure 2 : Seuls les deux premiers éléments doivent être sélectionnés lors de l'installation. La figure suivante est le nom du dossier dans le groupe de menu Démarrer généré. Il est recommandé de le remplacer par un nom qui ressemble moins à SERV-U, ou de le supprimer. le dossier. (Voir Figure 3)
Figure 3 : Modifier le nom du dossier dans le groupe du menu Démarrer généré après l'installation
[Page coupée]
Une fois l'installation terminée, un assistant apparaîtra vous permettant de créer un domaine et un compte. Cliquez sur Annuler ici pour annuler l'assistant. Le compte généré par l'assistant posera certains problèmes, le domaine et le compte sont donc créés manuellement ci-dessous. (Voir Figure 4)
Figure 4 : Cliquez sur Annuler pour annuler l'assistant
Cliquez ensuite sur l'option devant Démarrer automatiquement (service système), puis cliquez sur le bouton Démarrer le serveur ci-dessous pour ajouter SERV-U au service système, afin qu'il puisse être démarré avec le système sans avoir à le démarrer manuellement à chaque fois. (Voir Figure 5)
Figure 5 : Ajouter SERV-U au service
Ensuite, l'interface illustrée à la figure 6 apparaîtra. Définissez un mot de passe en cliquant sur Définir/Modifier le mot de passe.
Figure 6 : Cliquez sur Définir/Modifier le mot de passe pour définir le mot de passe
[Page coupée]
Ensuite, l'interface illustrée à la figure 7 apparaîtra. Comme c'est la première fois que vous l'utilisez, il n'y a pas de mot de passe, ce qui signifie que le mot de passe d'origine est vide. Il n'est pas nécessaire de saisir des caractères dans l'ancien mot de passe. Entrez simplement le même mot de passe dans les champs Nouveau mot de passe et Répéter le nouveau mot de passe ci-dessous, puis cliquez sur OK. Il est recommandé ici de définir un mot de passe suffisamment complexe pour empêcher les autres de procéder à un piratage par force brute. Peu importe si vous ne vous en souvenez pas. Effacez et enregistrez simplement la ligne LocalSetupPassword= dans ServUDaemon.ini, et vous ne serez pas invité à saisir votre mot de passe pour vous connecter lorsque vous exécuterez à nouveau ServUAdmin.exe.
Figure 8 : Créer un compte WINDOWS
Après avoir créé le compte, double-cliquez sur l'utilisateur créé pour modifier les propriétés de l'utilisateur et supprimez le groupe UTILISATEURS de « Appartient à ».
Figure 9 : Supprimer le groupe UTILISATEURS de l'affiliation
Décochez "Autoriser la connexion au serveur Terminal Server (W)" dans l'option "Profil des services Terminal Server" et cliquez sur OK pour continuer nos paramètres. (Voir Figure 10)
Figure 10 : Annuler « Autoriser la connexion au serveur Terminal Server »
Nous avons créé un compte ici et il est temps de créer le compte dans le service. Nous devons maintenant utiliser le compte que nous venons de créer. Vous n’avez pas encore oublié le mot de passe, vous en aurez donc bientôt besoin.
[Page coupée]
Recherchez « Services » dans les outils de gestion du menu Démarrer et cliquez pour l'ouvrir. Faites un clic droit sur « Service de serveur FTP Serv-U » et sélectionnez Propriétés pour continuer.
Cliquez ensuite sur "Connexion" pour accéder à l'interface de sélection du compte de connexion. Sélectionnez le nom du compte système que vous venez de créer et entrez deux fois le mot de passe du compte (celui que vous devez retenir tout à l'heure), puis cliquez sur « Appliquer » et cliquez à nouveau sur OK pour terminer les paramètres du service. (Voir Figure 11)
Figure 11 : Modifiez le mot de passe du compte pour démarrer et vous connecter à SRV-U. Ensuite, vous devez utiliser l'outil de gestion FTP pour créer un domaine, puis créer un compte, puis choisir de l'enregistrer dans le registre. (Voir Figure 12)
Figure 12 : Le mot de passe de l'utilisateur FTP est enregistré dans le registre
Ouvrez le registre pour tester les autorisations correspondantes, sinon SERV-U ne démarrera pas. Entrez regedt32 dans Démarrer->Exécuter et cliquez sur "OK" pour continuer.
Recherchez la branche [HKEY_LOCAL_MACHINESOFTWARECat Soft]. Faites un clic droit dessus, sélectionnez Autorisations, puis cliquez sur Avancé, annulez l'autorisation aux autorisations héritées du parent de se propager à cet objet et à tous les objets enfants, y compris ceux explicitement définis ici, cliquez sur "Appliquer" pour continuer, puis supprimez tous les comptes. Cliquez à nouveau sur le bouton "OK" pour continuer. Une boîte de dialogue apparaîtra disant "Vous avez refusé à tous les utilisateurs l'accès à Cat Soft. Personne ne peut accéder à Cat Soft et seul le propriétaire peut modifier les autorisations. Voulez-vous continuer ?", cliquez sur "Oui" pour continuer. Cliquez ensuite sur le bouton Ajouter pour ajouter le compte SSERVU que nous avons créé à la liste des autorisations de la sous-clé et accorder des autorisations de contrôle total. Le registre a été créé ici. Mais SERV-U ne peut pas encore être redémarré car le répertoire d'installation n'a pas encore été défini.
Configurez-le maintenant, conservez uniquement votre compte administratif et votre compte SSERVU, et accordez toutes les autorisations sauf le contrôle total. (Voir Figure 13)
Figure 13 : Paramètres d'autorisation du répertoire d'installation SERV-U
Maintenant, redémarrez le service Serv-U FTP Server dans le service et il démarrera normalement. Bien entendu, les paramètres ne sont pas complètement définis ici. Votre utilisateur FTP ne peut toujours pas se connecter car il ne dispose pas d'autorisations, vous devez donc toujours définir les autorisations du répertoire.
Supposons que vous ayez un répertoire WEB, le chemin est d:web. Supprimez ensuite tout sauf l'administrateur et les utilisateurs IIS dans les "Paramètres de sécurité" de ce répertoire, puis ajoutez le compte SSERVU. N'oubliez pas de supprimer également le compte SYSTEM. Pourquoi devons-nous le configurer ainsi ? Parce que SERV-U est maintenant démarré avec le compte SSERVU au lieu des autorisations SYSTEM, vous n'utilisez donc plus SYSTEM pour accéder au répertoire mais SSERVU. À ce stade, SYSTEM n'est plus utile, donc même s'il déborde, il ne le sera pas. obtenir les autorisations SYSTÈME. De plus, le répertoire racine du disque où se trouve le répertoire WEB doit également être configuré pour autoriser les autorisations de navigation et de lecture du compte SSERV-U, et confirmer que seul ce dossier est défini dans les paramètres avancés. (Voir Figure 14)
Figure 14 : Paramètres d'autorisation du disque où se trouve le répertoire WEB
À ce stade, tous les réglages sont terminés. Les paramètres SERV-U actuels sont définis en conjonction avec IIS Étant donné que différents comptes sont utilisés avec IIS, il est impossible pour les utilisateurs WEB d'accéder au répertoire SERV-U, et le répertoire WEB n'accorde pas d'autorisations SYSTEM, donc le compte SYSTEM ne peut pas. accéder au répertoire WEB. En d'autres termes, même si vous utilisez MSSQL pour obtenir les autorisations de sauvegarde, vous ne pouvez pas sauvegarder SHELL dans votre répertoire WEB. Vous pouvez utiliser SERV-U en toute sécurité.
Une fois l'installation terminée, un assistant apparaîtra vous permettant de créer un domaine et un compte. Cliquez sur Annuler ici pour annuler l'assistant. Le compte généré par l'assistant posera certains problèmes, le domaine et le compte sont donc créés manuellement ci-dessous. (Voir Figure 4)
Figure 4 : Cliquez sur Annuler pour annuler l'assistant
Cliquez ensuite sur l'option devant Démarrer automatiquement (service système), puis cliquez sur le bouton Démarrer le serveur ci-dessous pour ajouter SERV-U au service système, afin qu'il puisse être démarré avec le système sans avoir à le démarrer manuellement à chaque fois. (Voir Figure 5)
Figure 5 : Ajouter SERV-U au service
Ensuite, l'interface illustrée à la figure 6 apparaîtra. Définissez un mot de passe en cliquant sur Définir/Modifier le mot de passe.
Figure 6 : Cliquez sur Définir/Modifier le mot de passe pour définir le mot de passe