21 - Pentesting FTP
Grundinformationen
Das File Transfer Protocol (FTP) dient als Standardprotokoll für den Dateitransfer über ein Computernetzwerk zwischen einem Server und einem Client.
Es ist ein Klartext-Protokoll, das als neues Zeilenzeichen 0x0d 0x0a
verwendet, sodass Sie manchmal mit telnet
oder nc -C
verbinden müssen.
Standardport: 21
Verbindungen Aktiv & Passiv
In Aktivem FTP initiiert der FTP Client zuerst die Steuerungs-verbindung von seinem Port N zum Befehlsport des FTP-Servers – Port 21. Der Client hört dann auf Port N+1 und sendet den Port N+1 an den FTP-Server. Der FTP-Server initiiert dann die Daten-verbindung von seinem Port M zum Port N+1 des FTP-Clients.
Wenn der FTP-Client jedoch eine Firewall eingerichtet hat, die die eingehenden Datenverbindungen von außen kontrolliert, kann aktives FTP ein Problem darstellen. Eine praktikable Lösung dafür ist passives FTP.
In passivem FTP initiiert der Client die Steuerungsverbindung von seinem Port N zum Port 21 des FTP-Servers. Danach gibt der Client einen passv-Befehl aus. Der Server sendet dann dem Client eine seiner Portnummern M. Und der Client initiiert die Daten-verbindung von seinem Port P zum Port M des FTP-Servers.
Quelle: https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/
Verbindungs-Debugging
Die FTP-Befehle debug
und trace
können verwendet werden, um zu sehen, wie die Kommunikation erfolgt.
Enumeration
Banner-Grabbing
Mit StartTLS zu FTP verbinden
Unauth enum
Mit nmap
Sie können die Befehle HELP
und FEAT
verwenden, um einige Informationen über den FTP-Server zu erhalten:
Anonymer Login
anonymous : anonymous anonymous : ftp : ftp
Hier finden Sie eine schöne Liste mit Standard-FTP-Anmeldeinformationen: https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt
Automatisiert
Anonyme Anmeldungen und Bounce-FTP-Überprüfungen werden standardmäßig von nmap mit der -sC-Option durchgeführt oder:
Browserverbindung
Sie können sich mit einem FTP-Server über einen Browser (wie Firefox) mit einer URL wie:
Beachten Sie, dass wenn eine Webanwendung Daten, die von einem Benutzer kontrolliert werden, direkt an einen FTP-Server sendet, Sie doppelte URL-Codierung %0d%0a
(in doppelter URL-Codierung ist dies %250d%250a
) Bytes senden können und den FTP-Server dazu bringen können, willkürliche Aktionen auszuführen. Eine dieser möglichen willkürlichen Aktionen besteht darin, Inhalte von einem vom Benutzer kontrollierten Server herunterzuladen, Port-Scans durchzuführen oder zu versuchen, mit anderen auf Klartext basierenden Diensten (wie http) zu kommunizieren.
Alle Dateien vom FTP herunterladen
Wenn Ihr Benutzername/Passwort Sonderzeichen enthält, kann der folgende Befehl verwendet werden:
Einige FTP-Befehle
USER benutzername
PASS passwort
HELP
Der Server zeigt an, welche Befehle unterstützt werden**
PORT 127,0,0,1,0,80
** Dies wird dem FTP-Server anzeigen, eine Verbindung mit der IP 127.0.0.1 an Port 80 herzustellen (du musst das 5. Zeichen als "0" und das 6. als den Port im Dezimalformat angeben oder das 5. und 6. Zeichen verwenden, um den Port im Hexadezimalformat auszudrücken).**
EPRT |2|127.0.0.1|80|
** Dies wird dem FTP-Server anzeigen, eine TCP-Verbindung (angezeigt durch "2") mit der IP 127.0.0.1 an Port 80 herzustellen. Dieser Befehl unterstützt IPv6.LIST
Dies sendet die Liste der Dateien im aktuellen OrdnerLIST -R
Liste rekursiv (wenn vom Server erlaubt)APPE /path/something.txt
Dies wird dem FTP anzeigen, die Daten, die von einer passiven Verbindung oder von einer PORT/EPRT-Verbindung empfangen wurden, in eine Datei zu speichern. Wenn der Dateiname existiert, werden die Daten angehängt.STOR /path/something.txt
WieAPPE
, aber es wird die Dateien überschreibenSTOU /path/something.txt
WieAPPE
, aber wenn sie existiert, wird nichts unternommen.RETR /path/to/file
Eine passive oder eine Portverbindung muss hergestellt werden. Dann sendet der FTP-Server die angegebene Datei über diese VerbindungREST 6
Dies wird dem Server anzeigen, dass er beim nächsten Mal, wenn er etwas mitRETR
sendet, im 6. Byte beginnen soll.TYPE i
Setze den Transfer auf binärPASV
Dies öffnet eine passive Verbindung und zeigt dem Benutzer, wo er sich verbinden kannPUT /tmp/file.txt
Lade die angegebene Datei auf den FTP hoch
FTPBounce-Angriff
Einige FTP-Server erlauben den Befehl PORT. Dieser Befehl kann verwendet werden, um dem Server anzuzeigen, dass du dich mit einem anderen FTP-Server an einem bestimmten Port verbinden möchtest. Dann kannst du dies verwenden, um zu scannen, welche Ports eines Hosts über einen FTP-Server offen sind.
Hier lernen, wie man einen FTP-Server missbraucht, um Ports zu scannen.
Du könntest dieses Verhalten auch ausnutzen, um einen FTP-Server mit anderen Protokollen interagieren zu lassen. Du könntest eine Datei hochladen, die eine HTTP-Anfrage enthält und den anfälligen FTP-Server dazu bringen, sie an einen beliebigen HTTP-Server zu senden (vielleicht um einen neuen Admin-Benutzer hinzuzufügen?) oder sogar eine FTP-Anfrage hochladen und den anfälligen FTP-Server dazu bringen, eine Datei von einem anderen FTP-Server herunterzuladen. Die Theorie ist einfach:
Lade die Anfrage (in einer Textdatei) auf den anfälligen Server hoch. Denk daran, dass du, wenn du mit einem anderen HTTP- oder FTP-Server kommunizieren möchtest, die Zeilen mit
0x0d 0x0a
ändern musst.Verwende
REST X
, um das Senden der Zeichen zu vermeiden, die du nicht senden möchtest (vielleicht musstest du, um die Anfrage in die Datei hochzuladen, einige Bildheader am Anfang hinzufügen).Verwende
PORT
, um dich mit dem beliebigen Server und Dienst zu verbinden.Verwende
RETR
, um die gespeicherte Anfrage an den Server zu senden.
Es ist sehr wahrscheinlich, dass dies einen Fehler wie Socket nicht beschreibbar auslöst, weil die Verbindung nicht lange genug dauert, um die Daten mit RETR
zu senden. Vorschläge, um das zu vermeiden, sind:
Wenn du eine HTTP-Anfrage sendest, setze die gleiche Anfrage nacheinander bis ~0.5MB mindestens. So:
Versuche, die Anfrage mit "Müll"-Daten, die sich auf das Protokoll beziehen, zu füllen (wenn du mit FTP sprichst, vielleicht nur Müllbefehle oder wiederhole die
RETR
-Anweisung, um die Datei zu erhalten).Fülle die Anfrage einfach mit vielen Nullzeichen oder anderen (getrennt in Zeilen oder nicht).
Wie auch immer, hier hast du ein altes Beispiel, wie man dies missbrauchen kann, um einen FTP-Server eine Datei von einem anderen FTP-Server herunterladen zu lassen.
Filezilla-Server-Sicherheitsanfälligkeit
FileZilla bindet normalerweise an lokal einen Administrationsdienst für den FileZilla-Server (Port 14147). Wenn du einen Tunnel von deinem Rechner zu diesem Port erstellen kannst, kannst du dich mit einem leeren Passwort verbinden und einen neuen Benutzer für den FTP-Dienst erstellen.
Konfigurationsdateien
Post-Exploitation
Die Standardkonfiguration von vsFTPd kann in /etc/vsftpd.conf
gefunden werden. Hier könnten einige gefährliche Einstellungen zu finden sein:
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_root=/home/username/ftp
- Verzeichnis für anonym.chown_uploads=YES
- Ändere den Eigentümer von anonym hochgeladenen Dateienchown_username=username
- Benutzer, der den Eigentum an anonym hochgeladenen Dateien erhältlocal_enable=YES
- Erlaube lokalen Benutzern, sich anzumeldenno_anon_password=YES
- Frage anonym nicht nach einem Passwortwrite_enable=YES
- Erlaube Befehle: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE und SITE
Shodan
ftp
port:21
HackTricks Automatische Befehle
Last updated