Serv-U是一款流行的Ftp服务器，很多Web服务器都是用Serv-U来提供Ftp服务，供网站使用者或者设计者上传和下载文件。Serv-U在Web渗透中会经常遇到，在权限等合适的情况下，可以通过Webshell直接获得服务器权限。Serv-U提权在后面的章节中会有介绍。Serv-U早期版本采用md5加密，在获取Serv-U这个文件夹下的ServUDaemon.ini文件后可以对ftp用户密码进行破解。Serv-U 的加密算法：

第一步，随机产生两个字符；

第二步，将第一步产生的字符串加上你需要的密码一起MD5；

第三步，将第一步的两个字符加上第二步产生的MD5编码的大写加在一起就行了。

下面以一个实际案例介绍如何破解Serv-U的密码。

获取ServUDaemon.ini文件

Serv-U一般安装目录位于“C:\program files\Serv-U\”，当然也有位于其他位置，具体安装路径由程序安装者来决定，在获得Webshell权限的情况下，如果服务器上还安装了Serv-U，找到Serv-U的安装目录，将ServUDaemon.ini复制到本地留待后面进行破解，如图1 所示。

图1 ServUDaemon.ini文件

查看ServUDaemon.ini文件

配置文件对大小写不敏感，行与行之间允许空行主要分为[GLOBAL]全局变量段和[DOMAINS]域名配置段。[GLOBAL]全局变量段，主要设置SERV-U的注册号,以及刷新标志。[DOMAINS]域名配置段，包括在serv-u下添加的所有域信息以及域以下用户列表。

[GLOBAL]

Version=5.0.0.0 #无需改动.版本号

RegistrationKey=HsVRCjxHMe/HwDOrrUxqeMuChKO0DdlzUy2tCGgcdMVQDs/7P9EdwjKrowsPF//h4YObIvknAH/FHA95cfEyb3wzQp2v7UfOzCFEFq722 #无需改动.产品注册码

ProcessID=1172 #无需改动.注册号

ReloadSettings=True #在修改INI文件后需加入此项,这时SERV-U会自动刷新配置文件并生效,此项随之消失.再有修改再次添。

[DOMAINS]

Domain1=0.0.0.0||21|Wizard Generated Domain|1|0|0

#无需改动.新增加的域的IP地址以及说明，格式

# Domain1= IP地址 | 端口 | 域显示名称 | 是否生效 | 是否显示 | 是否删除

#IP地址为0.0.0.0时，SERV-U自动适配系统所分配的IP地址

#当生效位置0，则此域禁用

#当显示位置0，此域不生效并且在控制面板不显示此项

#当删除位置0，则ReloadSettings设置为Ture后,即刷新后,自动删除此域名以下所有内容

[Domain1]

#无需改动.与上面添加的域对应.是此域内的一些公共设置

User1=admin|1|0

#必填.用户列表

# 格式

# User序号 = 用户名 | 是否生效 | 是否删除

#User添加时必须按照序号排列,如果跳号,则跳号的不生效.如果序号重复.则排列在后的无效.

#是否生效置0,则此用户禁用

#是否删除置1,则刷新后删除用户信息,包括配置. 如果置2,则域下所有用户均删除.

[USER=admin|1]

#用户配置段,这些段的排列不分先后

TimeOut=600

Maintenance=System

Note1=”Administrator User”

Access1=g:\|RWAMELCDP

在Serv-U密码破解中我们需要注意用户的配置，也就是ServUDaemon.ini文件中涉及用户9个参数，一个用户对应一套参数配置，具体参数举例如下：

[USER=zt828|1] 表示用户为zt

password=mk7DC2A4B1A9A9E1F52A7F967FBCAA0A37表示ftp用户zt828的密码为“mk7DC2A4B1A9A9E1F52A7F967FBCAA0A37”

HomeDir=d:\wwwroot\zt828表示默认主目录为“d:\wwwroot\zt828”

MaxNrUsers=10表示最大用户连接数为10个。

RelPaths=1表示是否锁定用户到主目录，1表示锁定。

ChangePassword=1 表示是否可以修改密码，1表示可以。

DiskQuota=1|104857600|0 磁盘分配大小为100M（100×1024×1024）

SpeedLimitUp=102400 上传速度限制为100k/s

SpeedLimitDown=102400 下载速度限制为100k/s

Access1=d:\wwwroot\zt828|RL 读取和列表d:\wwwroot\zt828目录

破解Serv-U密码

以上面的zt828用户配置为例，将密码mk7DC2A4B1A9A9E1F52A7F967FBCAA0A37的mk去掉，将其复制到http://md5.com网站进行破击，如图2 所示，密码可以被破解，不过需要购买。单击“购买”即可获得其查询的md5值，如图3 所示。

图2 通过cmd网站查询md5密码

图3 获取md5破解后的密码

“7DC2A4B1A9A9E1F52A7F967FBCAA0A37”是采用md5进行加密的，其密码为mkok918918，去掉mk即为Ftp的密码“ok918918”。

验证Ftp

可以使用ftp IP地址进行登录，输入用户名“zt828”和密码“ok918918”，成功登录Ftp服务器，如图4 所示，正常进入后可以查看网站的源代码，上传Webshell，获取数据库用户和密码等。

图4 成功进入Ftp服务器

作者介绍：陈小兵，北京理工大学博士，计算机网络安全攻防专家，原海军某部网络安全研究员、公安部网络安全攻防实验员、曾就职于北京公安局网络安全总队，主要从事网络安全攻防研究工作，在网络安全研究与培训、病毒防范、网络渗透等领域具有20年以上经验，在业内享有盛名。曾出版多本业内权威性著作包括《SQL Server2000培训教程》《黑客攻防及实战案例解析》《Web渗透及实战案例解析》《安全之路-Web渗透及实战案例解析第二版》、《黑客攻防实战加密与解密》，在国内核心期刊及普通学术期刊发表论文20余篇。