21 - Pentesting FTP
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Protokół transferu plików (FTP) służy jako standardowy protokół do transferu plików w sieci komputerowej między serwerem a klientem.
Jest to protokół tekstowy, który używa jako znaku nowej linii 0x0d 0x0a
, więc czasami musisz połączyć się używając telnet
lub nc -C
.
Domyślny port: 21
W Aktywnym FTP klient FTP najpierw inicjuje połączenie kontrolne z portu N do portu komend FTP Serwera – port 21. Klient następnie nasłuchuje na porcie N+1 i wysyła port N+1 do FTP Serwera. FTP Serwer następnie inicjuje połączenie danych, z jego portu M do portu N+1 klienta FTP.
Jednak, jeśli klient FTP ma skonfigurowany zaporę, która kontroluje przychodzące połączenia danych z zewnątrz, to aktywne FTP może być problemem. A wykonalnym rozwiązaniem jest Pasywne FTP.
W Pasywnym FTP, klient inicjuje połączenie kontrolne z portu N do portu 21 FTP Serwera. Po tym, klient wydaje komendę passv. Serwer następnie wysyła klientowi jeden ze swoich numerów portu M. A klient inicjuje połączenie danych z jego portu P do portu M FTP Serwera.
Źródło: https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/
Polecenia FTP debug
i trace
mogą być używane do zobaczenia jak odbywa się komunikacja.
Z nmap
Możesz użyć poleceń HELP
i FEAT
, aby uzyskać informacje o serwerze FTP:
anonymous : anonymous &#xNAN;anonymous : &#xNAN;ftp : ftp
Tutaj znajdziesz ładną listę z domyślnymi danymi logowania ftp: https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt
Anonimowe logowanie i sprawdzenie bounce FTP są wykonywane domyślnie przez nmap z opcją -sC lub:
Możesz połączyć się z serwerem FTP za pomocą przeglądarki (takiej jak Firefox) używając adresu URL takiego jak:
Zauważ, że jeśli aplikacja webowa wysyła dane kontrolowane przez użytkownika bezpośrednio do serwera FTP, możesz wysłać podwójne kodowanie URL %0d%0a
(w podwójnym kodowaniu URL to %250d%250a
) i sprawić, że serwer FTP wykona dowolne akcje. Jedną z tych możliwych dowolnych akcji jest pobranie zawartości z serwera kontrolowanego przez użytkownika, przeprowadzenie skanowania portów lub próba komunikacji z innymi usługami opartymi na czystym tekście (takimi jak http).
Jeśli twoja nazwa użytkownika/hasło zawiera znaki specjalne, następujące polecenie może być użyte:
USER username
PASS password
HELP
Serwer wskazuje, które komendy są obsługiwane
PORT 127,0,0,1,0,80
To wskaże serwerowi FTP, aby nawiązał połączenie z IP 127.0.0.1 na porcie 80 (musisz wpisać 5. znak jako "0" i 6. jako port w systemie dziesiętnym lub użyć 5. i 6. do wyrażenia portu w systemie szesnastkowym).
EPRT |2|127.0.0.1|80|
To wskaże serwerowi FTP, aby nawiązał połączenie TCP (wskazane przez "2") z IP 127.0.0.1 na porcie 80. Ta komenda obsługuje IPv6.
LIST
To wyśle listę plików w bieżącym folderze
LIST -R
Lista rekurencyjna (jeśli dozwolone przez serwer)
APPE /path/something.txt
To wskaże FTP, aby przechował dane otrzymane z pasywnego połączenia lub z połączenia PORT/EPRT do pliku. Jeśli nazwa pliku istnieje, dane zostaną dołączone.
STOR /path/something.txt
Jak APPE
, ale nadpisze pliki
STOU /path/something.txt
Jak APPE
, ale jeśli istnieje, nie zrobi nic.
RETR /path/to/file
Musi być nawiązane pasywne lub portowe połączenie. Następnie serwer FTP wyśle wskazany plik przez to połączenie
REST 6
To wskaże serwerowi, że następnym razem, gdy wyśle coś używając RETR
, powinien zacząć od 6. bajtu.
TYPE i
Ustaw transfer na binarny
PASV
To otworzy pasywne połączenie i wskaże użytkownikowi, gdzie może się połączyć
PUT /tmp/file.txt
Prześlij wskazany plik do FTP
Niektóre serwery FTP pozwalają na komendę PORT. Ta komenda może być użyta do wskazania serwerowi, że chcesz połączyć się z innym serwerem FTP na pewnym porcie. Następnie możesz użyć tego do skanowania, które porty hosta są otwarte przez serwer FTP.
Dowiedz się tutaj, jak nadużywać serwera FTP do skanowania portów.
Możesz również nadużywać tego zachowania, aby sprawić, że serwer FTP będzie współdziałał z innymi protokołami. Możesz przesłać plik zawierający żądanie HTTP i sprawić, że podatny serwer FTP wyśle je do dowolnego serwera HTTP (może, aby dodać nowego użytkownika administratora?) lub nawet przesłać żądanie FTP i sprawić, że podatny serwer FTP pobierze plik z innego serwera FTP. Teoria jest prosta:
Prześlij żądanie (w pliku tekstowym) do podatnego serwera. Pamiętaj, że jeśli chcesz rozmawiać z innym serwerem HTTP lub FTP, musisz zmieniać linie z 0x0d 0x0a
Użyj REST X
, aby uniknąć wysyłania znaków, których nie chcesz wysyłać (może, aby przesłać żądanie w pliku, musiałeś dodać nagłówek obrazu na początku)
Użyj PORT
, aby połączyć się z dowolnym serwerem i usługą
Użyj RETR
, aby wysłać zapisane żądanie do serwera.
Jest bardzo prawdopodobne, że spowoduje to błąd taki jak Socket not writable ponieważ połączenie nie trwa wystarczająco długo, aby wysłać dane za pomocą RETR
. Sugestie, aby spróbować tego uniknąć, to:
Jeśli wysyłasz żądanie HTTP, umieść to samo żądanie jedno po drugim aż do ~0.5MB przynajmniej. Tak jak to:
Spróbuj wypełnić żądanie "śmieciowymi" danymi związanymi z protokołem (rozmawiając z FTP, może po prostu śmieciowe komendy lub powtarzając instrukcję RETR
, aby uzyskać plik)
Po prostu wypełnij żądanie dużą ilością znaków null lub innych (podzielonych na linie lub nie)
W każdym razie, tutaj masz stary przykład, jak nadużywać tego, aby sprawić, że serwer FTP pobierze plik z innego serwera FTP.
FileZilla zazwyczaj wiąże się z lokalnym serwisem administracyjnym dla FileZilla-Server (port 14147). Jeśli możesz stworzyć tunel z twojej maszyny do dostępu do tego portu, możesz połączyć się z nim używając pustego hasła i utworzyć nowego użytkownika dla usługi FTP.
Domyślna konfiguracja vsFTPd znajduje się w /etc/vsftpd.conf
. Można tu znaleźć niebezpieczne ustawienia:
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_root=/home/username/ftp
- Katalog dla anonimowych.
chown_uploads=YES
- Zmień właściciela anonimowo przesłanych plików
chown_username=username
- Użytkownik, który otrzymuje własność anonimowo przesłanych plików
local_enable=YES
- Zezwól lokalnym użytkownikom na logowanie
no_anon_password=YES
- Nie pytaj anonimowych o hasło
write_enable=YES
- Zezwól na polecenia: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE i SITE
ftp
port:21
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)