广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

在看这篇文章之前，有几点要注意

1、everyone用户完全控制目录在服务器上绝对不能出现

2、web目录上的权限都是独立的一般情况下是读取和写入，无运行权利

3、ipsec做了限定相关出入站端口访问

serv-u本地默认管理端口，以默认管理员登陆新建域和用户来执行命令，serv-u v3.x以上的版本默认本地管理端口是：127.0.0.1:43958，所以只能本机连接，默认管理员：

localadministrator，默认密码：#l@$ak#.lk;0@p，这是集成在serv-u内部的，可以以guest权限来进连接，对serv-u进行管理,如图1

screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

防止办法和对策:
serv-u v6以下的版本可以直接用ultraedit修改文件servudaemon.exe和servuadmin.exe,把默认密码修改成等长度的其它字符就可以了,用

ultraedit打开servuadmin.exe查找最后一个b6ab(43958的16进制)，替换成自定义的端口比如3930（12345），不过因为serv-u v6以下版本有远程缓冲区溢出漏洞，不建议使用

serv-u v6以上的版本可以在servudaemon.ini中加上localsetupportno=12345,可改变默认的管理端口,采用ipsec限制任何ip访问12345端口访

问,即增加12345端口的阻止,如果不改默认端口,就增加43958端口的阻止,如果"使用设置更改密码"的按钮,即在 servudaemon.ini中加上

localsetuppassword =ah6a0ed50add0a516da36992db43f3aa39之类的md5密码,如果不修改默认管理密码的话, 原来的#l@$ak#.lk;0@p依旧保存只有当密码为空时使用，再加上管理端口的限定localsetupportno=12345，当然程序中也要改端口的

screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

设置目录权限，通过去掉web目录iis访问用户的执行权限来防止使用webshell来运行exp程序，但这个方法有一定的局限性，需要设置的目录很多，不能有一点疏漏，如果有一个目录设置错误，就会导致可以在这个目录上传并运行exp，因为web上的权限都是独立的一般情况下是读取和写入.无运行权利.那么上传其他文件进行执行成功可能性不大，修改serv-u安装目录c:\program files\serv-u的权限（比如说这个目录，不过为了安全，请不要使用默认目录），administrator组完全控制，拒绝guests组用户访问serv-u目录，这是防止用户使用webshell来下载 servudaemon.exe，用ultraedit打开分析serv-u的帐号密码，并修改编译上传运行,那前面做的工作都没有作用了,因为这里默认管理端口在程序文件中已经修改，在servudaemon.ini中也已经修改，这样来说默认的管理员连接不上了

screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

最后一条，因为serv-u是以服务启动默认是以system权限运行的，才会有被权限提升的可能。只需要把serv-u的启动用户改成一个 user组的用户，那么就再不会有所谓的权限提升了。但要注意的是，这个低权限用户一定要对serv-u安装目录和提供ftp服务的目录或盘符有完全控制的权限。经测试发现，使用普通组用户启动的serv-u是不能增加用户和删除用户的，其他一切正常

（）