21 - Pentesting FTP
Basiese Inligting
Die File Transfer Protocol (FTP) dien as 'n standaard protokol vir lêer oordrag oor 'n rekenaar netwerk tussen 'n bediener en 'n kliënt.
Dit is 'n plain-text protokol wat die nuwe lyn karakter 0x0d 0x0a
gebruik, so soms moet jy verbinde met telnet
of nc -C
.
Standaard Poort: 21
Verbindinge Aktief & Passief
In Aktiewe FTP begin die FTP klient eers die kontrole verbinding vanaf sy poort N na die FTP Bediening se kommando poort – poort 21. Die klient luister dan na poort N+1 en stuur die poort N+1 na die FTP Bediening. Die FTP Bediening begin dan die data verbinding, vanaf sy poort M na die poort N+1 van die FTP Klient.
Maar, as die FTP Klient 'n firewall opgestel het wat die inkomende dataverbindinge van buite beheer, kan aktiewe FTP 'n probleem wees. En, 'n haalbare oplossing daarvoor is Passiewe FTP.
In Passiewe FTP begin die klient die kontrole verbinding vanaf sy poort N na die poort 21 van die FTP Bediening. Daarna gee die klient 'n passv kommando uit. Die bediener stuur dan vir die klient een van sy poortnommers M. En die klient begin die data verbinding vanaf sy poort P na poort M van die FTP Bediening.
Bron: https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/
Verbinding foutopsporing
Die FTP opdragte debug
en trace
kan gebruik word om te sien hoe die kommunikasie plaasvind.
Enumerasie
Banner Grabbing
Verbinde met FTP met starttls
Unauth enum
Met nmap
U kan die opdragte HELP
en FEAT
gebruik om 'n paar inligting van die FTP-bediener te verkry:
Anonieme aanmelding
anonieme : anonieme anonieme : ftp : ftp
Hier kan jy 'n mooi lys met standaard ftp geloofsbriewe vind: https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt
Geoutomatiseerd
Anon inlog en bounce FTP kontrole word standaard deur nmap uitgevoer met -sC opsie of:
Bladsyverbinding
Jy kan met 'n FTP-bediener verbind deur 'n blaaier (soos Firefox) te gebruik met 'n URL soos:
Let wel dat as 'n webtoepassing data wat deur 'n gebruiker beheer word direk na 'n FTP-bediener stuur, jy kan dubbele URL-kodering %0d%0a
(in dubbele URL-kodering is dit %250d%250a
) bytes stuur en die FTP-bediener dwing om arbitrêre aksies uit te voer. Een van hierdie moontlike arbitrêre aksies is om inhoud van 'n gebruiker se beheerde bediener af te laai, poortskandering uit te voer of te probeer om met ander teksgebaseerde dienste (soos http) te kommunikeer.
Laai alle lêers van FTP af
As jou gebruiker/wagwoord spesiale karakters het, kan die volgende opdrag gebruik word:
Sommige FTP-opdragte
USER gebruikersnaam
PASS wagwoord
HELP
Die bediener dui aan watter opdragte ondersteun word**
PORT 127,0,0,1,0,80
**Dit sal die FTP-bediener aandui om 'n verbinding met die IP 127.0.0.1 op poort 80 te vestig (jy moet die 5de karakter as "0" en die 6de as die poort in desimale of gebruik die 5de en 6de om die poort in hex uit te druk).**
EPRT |2|127.0.0.1|80|
**Dit sal die FTP-bediener aandui om 'n TCP-verbinding (aangedui deur "2") met die IP 127.0.0.1 op poort 80 te vestig. Hierdie opdrag ondersteun IPv6.LIST
Dit sal die lys van lêers in die huidige gids stuurLIST -R
Lys rekursief (as deur die bediener toegelaat)APPE /path/something.txt
Dit sal die FTP aandui om die data wat van 'n passiewe verbinding of van 'n PORT/EPRT verbinding ontvang is, na 'n lêer te stoor. As die lêernaam bestaan, sal dit die data byvoeg.STOR /path/something.txt
SoosAPPE
maar dit sal die lêers oorskryfSTOU /path/something.txt
SoosAPPE
, maar as dit bestaan, sal dit niks doen nie.RETR /path/to/file
'n Passiewe of 'n poortverbinding moet gevestig word. Dan sal die FTP-bediener die aangeduide lêer deur daardie verbinding stuurREST 6
Dit sal die bediener aandui dat dit die volgende keer iets stuur metRETR
dit moet begin by die 6de byte.TYPE i
Stel oordrag na binêrPASV
Dit sal 'n passiewe verbinding oopmaak en die gebruiker aandui waar hy kan aansluitPUT /tmp/file.txt
Laai die aangeduide lêer na die FTP op
FTPBounce-aanval
Sommige FTP-bedieners laat die opdrag PORT toe. Hierdie opdrag kan gebruik word om die bediener aan te dui dat jy wil aansluit by 'n ander FTP-bediener op 'n sekere poort. Dan kan jy dit gebruik om te skandeer watter poorte van 'n gasheer oop is deur 'n FTP-bediener.
Leer hier hoe om 'n FTP-bediener te misbruik om poorte te skandeer.
Jy kan ook hierdie gedrag misbruik om 'n FTP-bediener met ander protokolle te laat interaksie hê. Jy kan 'n lêer wat 'n HTTP-versoek bevat, oplaai en die kwesbare FTP-bediener dit na 'n arbitrêre HTTP-bediener laat stuur (miskien om 'n nuwe admin-gebruiker by te voeg?) of selfs 'n FTP-versoek oplaai en die kwesbare FTP-bediener 'n lêer vir 'n ander FTP-bediener laat aflaai. Die teorie is eenvoudig:
Laai die versoek (binne 'n tekslêer) na die kwesbare bediener op. Onthou dat as jy met 'n ander HTTP of FTP-bediener wil praat, jy lyne moet verander met
0x0d 0x0a
Gebruik
REST X
om te verhoed dat jy die karakters stuur wat jy nie wil stuur nie (miskien om die versoek binne die lêer op te laai, moes jy 'n paar beeldkop in die begin sit)Gebruik
PORT
om met die arbitrêre bediener en diens te verbindGebruik
RETR
om die gestoor versoek na die bediener te stuur.
Dit is hoogs waarskynlik dat dit 'n fout soos Socket nie skryfbaar sal gooi omdat die verbinding nie lank genoeg duur om die data met RETR
te stuur nie. Voorstelle om te probeer om dit te vermy is:
As jy 'n HTTP-versoek stuur, sit die dieselfde versoek een na die ander totdat ~0.5MB ten minste. Soos hierdie:
Probeer om die versoek met "rommel" data wat verband hou met die protokol te vol (as jy met FTP praat, miskien net rommelopdragte of die
RETR
-instruksie herhaal om die lêer te kry)Net vol die versoek met baie null karakters of ander (verdeeld op lyne of nie)
In elk geval, hier het jy 'n ou voorbeeld oor hoe om dit te misbruik om 'n FTP-bediener 'n lêer van 'n ander FTP-bediener af te laai.
Filezilla Bediener Kwetsbaarheid
FileZilla bind gewoonlik lokal 'n Administratiewe diens vir die FileZilla-Server (poort 14147). As jy 'n tonnel van jou masjien kan skep om toegang tot hierdie poort te verkry, kan jy verbinde met dit met 'n leë wagwoord en 'n nuwe gebruiker vir die FTP-diens skep.
Konfigurasie lêers
Post-Exploitation
Die standaardkonfigurasie van vsFTPd kan gevind word in /etc/vsftpd.conf
. Hier kan jy 'n paar gevaarlike instellings vind:
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_root=/home/username/ftp
- Gids vir anonieme.chown_uploads=YES
- Verander eienaarskap van anoniem opgelaaide lêerschown_username=username
- Gebruiker wat eienaarskap van anoniem opgelaaide lêers ontvanglocal_enable=YES
- Aktiveer plaaslike gebruikers om in te logno_anon_password=YES
- Moet nie anonieme vra vir wagwoord niewrite_enable=YES
- Laat opdragte toe: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE, en SITE
Shodan
ftp
port:21
HackTricks Automatiese Opdragte
Last updated