A primeira é a vulnerabilidade SITE CHMOD do SERV-U e a vulnerabilidade Serv-U MDTM, o que significa que você pode obter facilmente permissões de SYSTEM usando uma conta. A segunda é a vulnerabilidade de overflow local do Serv-u, ou seja, o Serv-U possui um usuário administrativo padrão (nome de usuário: localadministrator, senha: #|@$ak#.|k;0@p), qualquer pessoa pode acessá-lo através 1 A conta com porta local 43958 pode adicionar ou excluir contas à vontade e executar quaisquer comandos internos e externos.
Neste momento, as pessoas começaram a prestar atenção à segurança do SERV-U e tomaram algumas medidas relevantes, como modificar a porta de gerenciamento, o número da conta e a senha do SERV-U. No entanto, o conteúdo modificado ainda é retido no arquivo ServUDaemon.exe, portanto, após o download, você pode obter facilmente a porta, conta e senha modificadas usando um software de edição hexadecimal como o UltraEdit.
A partir do SERV-U6.0.0.2, o software possui uma função de senha de login. Se uma senha de gerenciamento for adicionada e as configurações forem definidas corretamente, o SERV-U será muito mais seguro do que antes. Agora iniciamos a jornada de configuração do SERV-U, usando a versão SERV-U 6.0.0.2.
Como diz o velho ditado, uma torre de trezentos metros começa com a fundação, e a segurança do SERV-U começa com a instalação. Este artigo escreve principalmente sobre as configurações de segurança do SERV-U, por isso não perderá muito tempo apresentando a instalação, apenas os pontos principais.
O SERV-U é instalado no diretório C:Program FilesServ-U por padrão. É melhor fazer algumas alterações. Por exemplo, se o usuário WEB da letra da unidade de instalação não puder navegar, será difícil para ele adivinhar o caminho da instalação. Claro, após a instalação, um atalho será gerado na área de trabalho e no menu Iniciar. É recomendável excluí-lo porque geralmente não é usado. Você pode querer perguntar, como entrar na interface de configuração do SERV-U? Na verdade, é muito simples. Clique duas vezes no pequeno ícone do Tray Monitor na barra de tarefas no canto direito para iniciar a interface de gerenciamento do SERV-U.
Figura 1: Modifique o diretório de instalação
Ao instalar, basta selecionar os dois primeiros itens. Os próximos dois são instruções e arquivos de ajuda online. (Ver Figura 2)
Figura 2: Somente os dois primeiros itens precisam ser selecionados durante a instalação A figura a seguir é o nome da pasta no grupo do menu inicial gerado. Recomenda-se alterá-lo para um nome menos parecido com SERV-U ou excluí-lo. a pasta. (Ver Figura 3)
Figura 3: Altere o nome da pasta no grupo do menu Iniciar gerado após a instalação
[Página cortada]
Após a conclusão da instalação, um assistente aparecerá permitindo que você crie um domínio e uma conta. Clique em Cancelar aqui para cancelar o assistente. A conta gerada pelo assistente causará alguns problemas, portanto o domínio e a conta são criados manualmente abaixo. (Ver Figura 4)
Figura 4: Clique em Cancelar para cancelar o assistente
Em seguida, clique na opção antes de Iniciar automaticamente (serviço do sistema) e, em seguida, clique no botão Iniciar servidor abaixo para adicionar o SERV-U ao serviço do sistema, para que ele possa ser iniciado com o sistema sem ter que iniciá-lo manualmente todas as vezes. (Ver Figura 5)
Figura 5: Adicionar SERV-U ao serviço
A seguir, aparecerá a interface mostrada na Figura 6. Defina uma senha clicando em Definir/Alterar senha.
Figura 6: Clique em Definir/Alterar senha para definir a senha
[Página cortada]
Em seguida, aparecerá a interface mostrada na Figura 7. Por ser a primeira vez que uso, não há senha, o que significa que a senha original está vazia. Não há necessidade de inserir caracteres na senha antiga. Basta inserir a mesma senha em Nova senha e Repetir nova senha abaixo e clicar em OK. Recomenda-se aqui definir uma senha que seja complexa o suficiente para evitar que outras pessoas quebrem por força bruta. Não importa se você não consegue se lembrar. Apenas limpe e salve a linha LocalSetupPassword= em ServUDaemon.ini, e você não será solicitado a inserir sua senha para fazer login quando executar ServUAdmin.exe novamente.
Figura 8: Crie uma conta WINDOWS
Após criar a conta, clique duas vezes no usuário criado para editar as propriedades do usuário e excluir o grupo USERS de “Pertence a”.
Figura 9: Excluir grupo USERS da afiliação
Desmarque "Permitir logon no Terminal Server (W)" na opção "Perfil de serviços de terminal" e clique em OK para continuar com nossas configurações. (Ver Figura 10)
Figura 10: Cancelar "Permitir logon no Terminal Server"
Criamos uma conta aqui e é hora de configurar a conta no serviço. Agora precisamos usar a conta que acabamos de criar. Você ainda não esqueceu a senha, então precisará dela em breve.
[Página cortada]
Encontre “Serviços” nas ferramentas de gerenciamento do menu iniciar e clique para abri-lo. Clique com o botão direito em "Serv-U FTP Server Service" e selecione Propriedades para continuar.
Em seguida, clique em "Login" para entrar na interface de seleção de conta de login. Selecione o nome da conta do sistema que você acabou de criar e digite a senha da conta duas vezes (aquela que você pediu para lembrar agora), clique em “Aplicar” e clique em OK novamente para concluir as configurações do serviço. (Ver Figura 11)
Figura 11: Altere a senha da conta para iniciar e fazer login no SRV-U Em seguida, você precisa usar a ferramenta de gerenciamento de FTP para criar um domínio, criar uma conta e optar por salvá-la no registro. (Ver Figura 12)
Figura 12: A senha do usuário FTP é salva no registro
Abra o registro para testar as permissões correspondentes, caso contrário o SERV-U não será iniciado. Digite regedt32 em Iniciar->Executar e clique em "OK" para continuar.
Encontre a ramificação [HKEY_LOCAL_MACHINESOFTWARECat Soft]. Clique com o botão direito nele, selecione Permissões e clique em Avançado, cancele a permissão para que as permissões herdadas do pai se propaguem para este objeto e todos os objetos filhos, incluindo aqueles explicitamente definidos aqui, clique em "Aplicar" para continuar e exclua todas as contas. Clique no botão “OK” novamente para continuar. Uma caixa de diálogo aparecerá dizendo "Você negou o acesso de todos os usuários ao Cat Soft. Ninguém pode acessar o Cat Soft e apenas o proprietário pode alterar as permissões. Deseja continuar?", Clique em "Sim" para continuar. Em seguida, clique no botão Adicionar para adicionar a conta SSERVU que criamos à lista de permissões da subchave e conceder permissões de controle total. O registro foi configurado aqui. Mas o SERV-U ainda não pode ser reiniciado porque o diretório de instalação ainda não foi definido.
Configure agora, mantenha apenas sua conta administrativa e conta SSERVU e conceda todas as permissões, exceto controle total. (Ver Figura 13)
Figura 13: Configurações de permissão do diretório de instalação do SERV-U
Agora reinicie o serviço Serv-U FTP Server no serviço e ele iniciará normalmente. Claro, as configurações não foram completamente concluídas aqui. Seu usuário FTP ainda não consegue fazer login porque não tem permissões, então você ainda precisa definir as permissões do diretório.
Suponha que você tenha um diretório WEB, o caminho é d:web. Em seguida, exclua todos, exceto os usuários administradores e IIS, nas "Configurações de segurança" deste diretório e, em seguida, adicione a conta SSERVU. Lembre-se de excluir a conta SYSTEM também. Por que precisamos configurá-lo assim? Como o SERV-U agora é iniciado com a conta SSERVU em vez das permissões SYSTEM, você não usa mais SYSTEM para acessar o diretório, mas SSERVU. Neste momento, SYSTEM não é mais útil, portanto, mesmo que estoure, não poderá. obtenha permissões de SISTEMA. Além disso, o diretório raiz do disco onde está localizado o diretório WEB também deve ser configurado para permitir permissões de navegação e leitura da conta SSERV-U, e confirmar se apenas esta pasta está configurada na configuração avançada. (Ver Figura 14)
Figura 14: Configurações de permissão do disco onde está localizado o diretório WEB
Neste ponto, todas as configurações estão concluídas. As configurações atuais do SERV-U são definidas em conjunto com o IIS Como contas diferentes são usadas com o IIS, é impossível para os usuários WEB acessarem o diretório SERV-U, e o diretório WEB não concede permissões SYSTEM, portanto, a conta SYSTEM não pode. acessar o diretório WEB Em outras palavras, mesmo se você usar MSSQL para obter permissões de backup, não poderá fazer backup do SHELL em seu diretório WEB. Você pode usar o SERV-U com segurança.
Após a conclusão da instalação, um assistente aparecerá permitindo que você crie um domínio e uma conta. Clique em Cancelar aqui para cancelar o assistente. A conta gerada pelo assistente causará alguns problemas, portanto o domínio e a conta são criados manualmente abaixo. (Ver Figura 4)
Figura 4: Clique em Cancelar para cancelar o assistente
Em seguida, clique na opção antes de Iniciar automaticamente (serviço do sistema) e, em seguida, clique no botão Iniciar servidor abaixo para adicionar o SERV-U ao serviço do sistema, para que ele possa ser iniciado com o sistema sem ter que iniciá-lo manualmente todas as vezes. (Ver Figura 5)
Figura 5: Adicionar SERV-U ao serviço
A seguir, aparecerá a interface mostrada na Figura 6. Defina uma senha clicando em Definir/Alterar senha.
Figura 6: Clique em Definir/Alterar senha para definir a senha