1.11 Serv-U密碼破解

Serv-U是一款流行的Ftp服務器，很多Web服務器都是用Serv-U來提供Ftp服務，供網站使用者或者設計者上傳和下載文件的。Serv-U在Web滲透中會經常遇到，在權限等合適的情況下，可以通過WebShell直接獲得服務器權限。Serv-U提權在后面的章節中會有介紹。Serv-U早期版本采用MD5加密，在獲取Serv-U這個文件夾下的ServUDaemon.ini文件后可以對Ftp用戶密碼進行破解。Serv-U的加密算法如下：

第一步，隨機產生兩個字符。

第二步，將第一步產生的字符串加上你需要的密碼一起MD5。

第三步，將第一步的兩個字符加上第二步產生的MD5編碼的大寫加在一起就行了。

下面以一個實際案例介紹如何破解Serv-U的密碼。

1.11.1 獲取ServUDaemon.ini文件

Serv-U安裝目錄一般位于“C:\program files\Serv-U\”，當然也有位于其他位置，具體安裝路徑由程序安裝者來決定，在獲得WebShell權限的情況下，如果服務器上還安裝了Serv-U，找到Serv-U的安裝目錄，將ServUDaemon.ini復制到本地留待后面進行破解，如圖1-82所示。

1.11.2 查看ServUDaemon.ini文件

配置文件對大小寫不敏感，行與行之間允許空行主要分為[GLOBAL]全局變量段和[DOMAINS]域名配置段。[GLOBAL]全局變量段，主要設置SERV-U的注冊號以及刷新標志。[DOMAINS]域名配置段，包括在Serv-U下添加的所有域信息以及域以下用戶列表。

[GLOBAL]
Version=5.0.0.0 #無須改動.版本號
RegistrationKey=HsVRCjxHMe/HwDOrrUxqeMuChKO0DdlzUy2tCGgcdMVQDs/7P9EdwjKr
owsPF//h4YObIvknAH/FHA95cfEyb3wzQp2v7UfOzCFEFq722 #無須改動.產品注冊碼
ProcessID=1172 #無須改動.注冊號
ReloadSettings=True #在修改ini文件后須加入此項，這時Serv-U會自動刷新配置文件并生效，此項隨之消失，再有修改再次添。
[DOMAINS]
Domain1=0.0.0.0||21|Wizard Generated Domain|1|0|0
#無須改動，新增加的域的IP地址以及說明，格式
# Domain1= IP地址 | 端口 | 域顯示名稱 | 是否生效 | 是否顯示 | 是否刪除
#IP地址為0.0.0.0時，Serv-U自動適配系統所分配的IP地址
#當生效位置0，則此域禁用
#當顯示位置0，此域不生效并且在控制面板不顯示此項
#當刪除位置0，則ReloadSettings設置為Ture后，即刷新后，自動刪除此域名以下所有內容
[Domain1]
#無須改動，與上面添加的域對應，是此域內的一些公共設置
User1=admin|1|0
#必填.用戶列表
# 格式
# User序號 = 用戶名 | 是否生效 | 是否刪除
#User添加時必須按照序號排列，如果跳號，則跳號的不生效。如果序號重復，則排列在后的無效。
#是否生效置0，則此用戶禁用
#是否刪除置1，則刷新后刪除用戶信息，包括配置。如果置2，則域下所有用戶均刪除。
[USER=admin|1]
#用戶配置段，這些段的排列不分先后
TimeOut=600
Maintenance=System
Note1="Administrator User"
Access1=g:\|RWAMELCDP

在Serv-U密碼破解中我們需要注意用戶的配置，也就是ServUDaemon.ini文件中涉及用戶9個參數，一個用戶對應一套參數配置，具體參數舉例如下：

[USER=zt828|1] 表示用戶為zt。
password=mk7DC2A4B1A9A9E1F52A7F967FBCAA0A37表示ftp用戶zt828的密碼為“mk7DC2A4B1A9A9E1F52A7F967FBCAA0A37”。
HomeDir=d:\wwwroot\zt828表示默認主目錄為“d:\wwwroot\zt828”。
MaxNrUsers=10表示最大用戶連接數為10個。
RelPaths=1表示是否鎖定用戶到主目錄，1表示鎖定。
ChangePassword=1 表示是否可以修改密碼，1表示可以。
DiskQuota=1|104857600|0 磁盤分配大小為100MB（100×1024×1024）。
SpeedLimitUp=102400 上傳速度限制為100k/s。
SpeedLimitDown=102400 下載速度限制為100k/s。
Access1=d:\wwwroot\zt828|RL 讀取和列表d:\wwwroot\zt828目錄。

1.11.3 破解Serv-U密碼

以上面的zt828用戶配置為例，將密碼mk7DC2A4B1A9A9E1F52A7F967FBCAA0A37的mk去掉，將其復制到MD5.com網站進行破解，如圖1-83所示，密碼可以被破解，不過需要購買。單擊“購買”按鈕即可獲得其查詢的MD5值，如圖1-84所示。

“7DC2A4B1A9A9E1F52A7F967FBCAA0A37”是采用MD5進行加密的，其密碼為mkok918918，去掉mk即為Ftp的密碼“ok918918”。

1.11.4 驗證Ftp

可以使用Ftp IP地址進行登錄，輸入用戶名“zt828”和密碼“ok918918”，成功登錄Ftp服務器，如圖1-85所示，正常進入后可以查看網站的源代碼，上傳WebShell，獲取數據庫用戶和密碼等。