|
 
- 帖子
- 260
- 积分
- 260
- 经验
- 260 点
- 威望
- 13 点
- 金钱
- 1660 NG
- 魅力
- 493
- 性别
- 男
- 来自
- 问这弄么
- 注册时间
- 2002-8-9
 我们约会吧!
|
1#
发表于 2002-8-13 18:59
| 只看该作者
【注意】不看就吃亏了真的
重大安全漏洞
--------------------------------------------------------------------------------
Serv-U安装文件ServUDaemon.ini泄漏敏感信息漏洞
-------------------------------------------------------------------------------------------------
受影响系统:
Serv-U FTP Server 3.x for (其他版本不详,应该也存在这个问题)
windows 2000
windows NT
描述:
Serv-U FTP Server是一款非常普遍的FTP服务器.他功能强大,简单易用,可
以运行于任何windows平台.现在发现它的一些ini文件可以泄漏用户的敏感信息.
利用该漏洞可以给系统安全造成严重危害.
本地恶意用户只要能够访问这些文件可以获取甚至包括服务器用户账号,该账号密
码,根目录等等敏感信息.远程入侵者结合其他漏洞(比如Unicode,也将可以利用该
漏洞).
测试方法:
现提供一个测试方法:
打开ServUDaemon.ini文件.
[GLOBAL]
...........
[Domain1]
User1=Anonymous|1|0
User2=920|1|0
User3=anubis|1|0 <------泄漏账号以及相关信息....
User4=tw|0|0
User5=spr|1|0
User6=lswwm|1|0
User7=anan|1|0
User8=penghua|1|0
User9=one5|1|0
...............
[USER=penghua|1] <--------- 泄漏账号
Password=penghua62251<---------明文密码!!!!(意味着你可以凭借此进入主机)
HomeDir=C:\home\penghua <-------泄漏根目录.
RelPaths=1
AlwaysAllowLogin=1
ChangePassword=1
DiskQuota=1|20480000|8307985
TimeOut=600
Access1=C:\home\penghua|RWAMLCDP
[USER=ding|1]
Password=xiao
HomeDir=c:\home\ding
RelPaths=1
AlwaysAllowLogin=1
ChangePassword=1
DiskQuota=1|20480000|19701299
TimeOut=600
Access1=C:\home\ding|RWAMLCDP |
[IMG]QQ:52137079 81861632[IMG][Move] [/Move] |
|
发表于 2002-8-14 01:13
| 
