21 - Pentesting FTP
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Il File Transfer Protocol (FTP) funge da protocollo standard per il trasferimento di file attraverso una rete informatica tra un server e un client.
È un protocollo in chiaro che utilizza come carattere di nuova linea 0x0d 0x0a
quindi a volte è necessario connettersi usando telnet
o nc -C
.
Porta predefinita: 21
In Active FTP, il client FTP prima inizia la connessione di controllo dalla sua porta N alla porta di comando del server FTP – porta 21. Il client poi ascolta sulla porta N+1 e invia la porta N+1 al server FTP. Il server FTP poi inizia la connessione dati, dalla sua porta M alla porta N+1 del client FTP.
Ma, se il client FTP ha un firewall configurato che controlla le connessioni dati in entrata dall'esterno, allora l'Active FTP può essere un problema. E, una soluzione fattibile per questo è il Passive FTP.
Nel Passive FTP, il client inizia la connessione di controllo dalla sua porta N alla porta 21 del server FTP. Dopo questo, il client emette un comando passv. Il server poi invia al client uno dei suoi numeri di porta M. E il client inizia la connessione dati dalla sua porta P alla porta M del server FTP.
Source: https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/
I comandi FTP debug
e trace
possono essere utilizzati per vedere come sta avvenendo la comunicazione.
Con nmap
Puoi usare i comandi HELP
e FEAT
per ottenere alcune informazioni sul server FTP:
anonymous : anonymous &#xNAN;anonymous : &#xNAN;ftp : ftp
Qui puoi trovare un bel elenco con le credenziali ftp predefinite: https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt
Il login anonimo e i controlli FTP di rimbalzo vengono eseguiti per impostazione predefinita da nmap con l'opzione -sC o:
Puoi connetterti a un server FTP utilizzando un browser (come Firefox) usando un URL come:
Nota che se un web application sta inviando dati controllati da un utente direttamente a un server FTP puoi inviare una doppia codifica URL %0d%0a
(in doppia codifica URL questo è %250d%250a
) byte e far sì che il server FTP esegua azioni arbitrarie. Una di queste possibili azioni arbitrarie è scaricare contenuti da un server controllato dall'utente, eseguire la scansione delle porte o provare a comunicare con altri servizi basati su testo semplice (come http).
Se il tuo nome utente/password contiene caratteri speciali, il seguente comando può essere utilizzato:
USER username
PASS password
HELP
Il server indica quali comandi sono supportati
PORT 127,0,0,1,0,80
Questo indicherà al server FTP di stabilire una connessione con l'IP 127.0.0.1 sulla porta 80 (devi mettere il 5° carattere come "0" e il 6° come la porta in decimale o usare il 5° e 6° per esprimere la porta in esadecimale).
EPRT |2|127.0.0.1|80|
Questo indicherà al server FTP di stabilire una connessione TCP (indicata da "2") con l'IP 127.0.0.1 sulla porta 80. Questo comando supporta IPv6.
LIST
Questo invierà l'elenco dei file nella cartella corrente
LIST -R
Elenca ricorsivamente (se consentito dal server)
APPE /path/something.txt
Questo indicherà al FTP di memorizzare i dati ricevuti da una connessione passiva o da una connessione PORT/EPRT in un file. Se il nome del file esiste, aggiungerà i dati.
STOR /path/something.txt
Come APPE
ma sovrascriverà i file
STOU /path/something.txt
Come APPE
, ma se esiste non farà nulla.
RETR /path/to/file
Deve essere stabilita una connessione passiva o una connessione port. Poi, il server FTP invierà il file indicato attraverso quella connessione
REST 6
Questo indicherà al server che la prossima volta che invia qualcosa usando RETR
dovrebbe iniziare al 6° byte.
TYPE i
Imposta il trasferimento su binario
PASV
Questo aprirà una connessione passiva e indicherà all'utente dove può connettersi
PUT /tmp/file.txt
Carica il file indicato sul FTP
Alcuni server FTP consentono il comando PORT. Questo comando può essere utilizzato per indicare al server che si desidera connettersi a un altro server FTP su una certa porta. Poi, puoi usare questo per scansionare quali porte di un host sono aperte attraverso un server FTP.
Scopri qui come abusare di un server FTP per scansionare le porte.
Potresti anche abusare di questo comportamento per far interagire un server FTP con altri protocolli. Potresti caricare un file contenente una richiesta HTTP e far sì che il server FTP vulnerabile la invii a un server HTTP arbitrario (magari per aggiungere un nuovo utente admin?) o persino caricare una richiesta FTP e far sì che il server FTP vulnerabile scarichi un file da un altro server FTP. La teoria è semplice:
Carica la richiesta (all'interno di un file di testo) sul server vulnerabile. Ricorda che se vuoi parlare con un altro server HTTP o FTP devi cambiare le righe con 0x0d 0x0a
Usa REST X
per evitare di inviare i caratteri che non vuoi inviare (magari per caricare la richiesta all'interno del file dove dovevi mettere un'intestazione di immagine all'inizio)
Usa PORT
per connetterti al server e al servizio arbitrari
Usa RETR
per inviare la richiesta salvata al server.
È altamente probabile che questo generi un errore come Socket non scrivibile perché la connessione non dura abbastanza per inviare i dati con RETR
. Suggerimenti per cercare di evitare ciò sono:
Se stai inviando una richiesta HTTP, metti la stessa richiesta una dopo l'altra fino a ~0.5MB almeno. Così:
Prova a riempire la richiesta con dati "spazzatura" relativi al protocollo (parlando con FTP magari solo comandi spazzatura o ripetendo l'istruzione RETR
per ottenere il file)
Basta riempire la richiesta con molti caratteri nulli o altri (divisi su righe o meno)
Comunque, qui hai un vecchio esempio su come abusare di questo per far scaricare un file da un server FTP diverso.
FileZilla di solito si lega a locale un servizio amministrativo per il FileZilla-Server (porta 14147). Se riesci a creare un tunnel dalla tua macchina per accedere a questa porta, puoi connetterti ad essa usando una password vuota e creare un nuovo utente per il servizio FTP.
La configurazione predefinita di vsFTPd può essere trovata in /etc/vsftpd.conf
. Qui, potresti trovare alcune impostazioni pericolose:
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_root=/home/username/ftp
- Directory per anonimi.
chown_uploads=YES
- Cambia la proprietà dei file caricati anonimemente
chown_username=username
- Utente a cui viene data la proprietà dei file caricati anonimemente
local_enable=YES
- Abilita gli utenti locali a effettuare il login
no_anon_password=YES
- Non chiedere la password agli anonimi
write_enable=YES
- Consenti comandi: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE e SITE
ftp
port:21
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)