Serv-U FTP 执行 DOS命令阻断操作演示，防止通过 Serv-U 提权

    安装 Serv-U FTP 服务器端后，默认以 SYSTEM（系统权限）运行，同时开放 43958 管理端口。部分版本在特定情况下，通过 ASP / PHP / .NET ...网页木马向 Serv-U 的 43958 管理端口（默认用户名是 localadministrator 默认密码是 #l@$ak#.lk;0@P）发送特定的内容，可以通过 Serv-U 执行命令进行提权操作，例如，建立新用户等。

　

    《智创IIS防火墙》可以阻断 Serv-U FTP 执行DOS命令和运行EXE程序，防止通过 Serv-U FTP 提权。如果下图所示，IIS防火墙阻断了DOS命令执行，Serv-U FTP 返回了“501 Cannot EXEC command line (error=0).”的提示，命令执行失败。提权被拦截。

　

    当前功能模块已经集成到《智创IIS防火墙》，从这里下载安装《智创IIS防火墙》 https://www.zcnt.com/iis.asp

　

　

　

---

Serv-U FTP 执行DOS命令操作演示，以 Serv-U 6.x版本为例，如下图所示

　

1、在网站被上传 ASP / PHP / ASPX ...网页木马后，找到 Serv-U 命令执行模块，然后填写需要执行的命令

　

　

　

2、填写需要执行的DOS命令，点提交。在 Windows用户管理里，我们看到成功创建了 hack 用户

　

　

　

3、建立的新用户是普通的 users 组权限，再次运行提权命令，将用户加入到 administrators 组，获得管理员权限

　

　

　

　

　

4、在《智创IIS防火墙》的管理界面中，开启“Serv-U FTP”的 DOS命令和EXE程序监控拦截功能
　

　

　

5、再次运行刚才的命令提权

　

    通过返回提示，我们看到Serv-U FTP返回了错误信息“501 Cannot EXEC command line (error=0).”，
《智创IIS防火墙》已经在 Serv-U 内部阻断了DOS命令执行，导致 FTP返回错误提示信息

　

　

　

6、刚才执行的 DOS命令已经被记录到IIS防火墙日志文件中，通过查看日志可以看到具体被阻断的DOS命令

　

　

　

　

　

下载地址：

    下载安装《智创网站专业级防火墙软件》 https://www.zcnt.com/iis.asp