21 - Pentesting FTP
Try Hard Security Group
Informazioni di Base
Il File Transfer Protocol (FTP) funge da protocollo standard per il trasferimento di file su una rete informatica tra un server e un client.
Si tratta di un protocollo in testo semplice che utilizza come carattere di nuova riga 0x0d 0x0a
quindi a volte è necessario connettersi usando telnet
o nc -C
.
Porta predefinita: 21
Connessioni Attive e Passive
Nel FTP Attivo il client FTP inizia prima la connessione di controllo dalla sua porta N alla porta di comando del Server FTP - porta 21. Il client quindi ascolta sulla porta N+1 e invia la porta N+1 al Server FTP. Il Server FTP quindi inizializza la connessione dati, dalla sua porta M alla porta N+1 del Client FTP.
Tuttavia, se il Client FTP ha un firewall che controlla le connessioni dati in ingresso dall'esterno, allora l'FTP attivo potrebbe essere un problema. E una soluzione fattibile per questo è l'FTP Passivo.
Nel FTP Passivo, il client inizia la connessione di controllo dalla sua porta N alla porta 21 del Server FTP. Dopo questo, il client emette un comando passv. Il server invia quindi al client uno dei suoi numeri di porta M. E il client inizializza la connessione dati dalla sua porta P alla porta M del Server FTP.
Fonte: https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/
Debugging della Connessione
I comandi debug
e trace
possono essere utilizzati per vedere come avviene la comunicazione.
Enumerazione
Banner Grabbing
Connettersi a FTP usando starttls
Enumerazione non autorizzata
Con nmap
Puoi usare i comandi HELP
e FEAT
per ottenere alcune informazioni sul server FTP:
Accesso anonimo
anonymous : anonymous anonymous : ftp : ftp
Qui puoi trovare una bella lista con le credenziali ftp predefinite: https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt
Automatizzato
I controlli di login anonimo e bounce FTP sono eseguiti di default da nmap con l'opzione -sC o:
Connessione del browser
Puoi connetterti a un server FTP utilizzando un browser (come Firefox) utilizzando un URL come:
Nota che se un applicazione web sta inviando dati controllati da un utente direttamente a un server FTP è possibile inviare una doppia codifica URL %0d%0a
(in doppia codifica URL questo diventa %250d%250a
) byte e far eseguire al server FTP azioni arbitrarie. Una di queste possibili azioni arbitrarie è scaricare contenuti da un server controllato dall'utente, eseguire scansione delle porte o provare a comunicare con altri servizi basati su testo normale (come http).
Scaricare tutti i file da FTP
Se il tuo utente/password contiene caratteri speciali, puoi utilizzare il seguente comando:
Alcuni comandi FTP
USER username
PASS password
HELP
Il server indica quali comandi sono supportati**
PORT 127,0,0,1,0,80
** Questo indicherà al server FTP di stabilire una connessione con l'IP 127.0.0.1 sulla porta 80 (è necessario mettere il 5° carattere come "0" e il 6° come la porta in decimale o utilizzare il 5° e 6° per esprimere la porta in esadecimale).**
EPRT |2|127.0.0.1|80|
** Questo indicherà al server FTP di stabilire una connessione TCP (indicata da "2") con l'IP 127.0.0.1 sulla porta 80. Questo comando supporta IPv6.LIST
Questo invierà l'elenco dei file nella cartella correnteLIST -R
Elenca in modo ricorsivo (se consentito dal server)APPE /percorso/qualcosa.txt
Questo indicherà all'FTP di memorizzare i dati ricevuti da una connessione passiva o da una connessione PORT/EPRT in un file. Se il nome del file esiste, verranno aggiunti i dati.STOR /percorso/qualcosa.txt
ComeAPPE
ma sovrascriverà i fileSTOU /percorso/qualcosa.txt
ComeAPPE
, ma se esiste non farà nulla.RETR /percorso/di/file
Deve essere stabilita una connessione passiva o di porta. Quindi, il server FTP invierà il file indicato tramite tale connessioneREST 6
Questo indicherà al server che la prossima volta che invierà qualcosa usandoRETR
dovrebbe iniziare dal 6° byte.TYPE i
Imposta il trasferimento in binarioPASV
Questo aprirà una connessione passiva e indicherà all'utente dove può connettersiPUT /tmp/file.txt
Carica il file indicato sull'FTP
Attacco FTPBounce
Alcuni server FTP consentono il comando PORT. Questo comando può essere utilizzato per indicare al server che si desidera connettersi ad un altro server FTP su una determinata porta. Quindi, è possibile utilizzarlo per scansionare quali porte di un host sono aperte tramite un server FTP.
Scopri qui come abusare di un server FTP per scansionare le porte.
Potresti anche abusare di questo comportamento per far interagire un server FTP con altri protocolli. Potresti caricare un file contenente una richiesta HTTP e fare in modo che il server FTP vulnerabile la invii a un server HTTP arbitrario (magari per aggiungere un nuovo utente admin?) o caricare una richiesta FTP e fare in modo che il server FTP vulnerabile scarichi un file per un diverso server FTP. La teoria è semplice:
Carica la richiesta (all'interno di un file di testo) sul server vulnerabile. Ricorda che se vuoi comunicare con un altro server HTTP o FTP devi cambiare le righe con
0x0d 0x0a
Usa
REST X
per evitare di inviare i caratteri che non vuoi inviare (forse per caricare la richiesta all'interno del file hai dovuto inserire un'intestazione dell'immagine all'inizio)Usa
PORT
per connetterti al server e al servizio arbitrarioUsa
RETR
per inviare la richiesta salvata al server.
È molto probabile che questo genererà un errore come Socket non scrivibile perché la connessione non dura abbastanza per inviare i dati con RETR
. Suggerimenti per cercare di evitare ciò sono:
Se stai inviando una richiesta HTTP, inserisci la stessa richiesta una dopo l'altra fino a ~0.5MB almeno. Così:
Prova a riempire la richiesta con dati "spazzatura" relativi al protocollo (parlando con FTP forse solo comandi spazzatura o ripetendo l'istruzione
RETR
per ottenere il file)Riempire semplicemente la richiesta con molti caratteri nulli o altri (divisi su righe o meno)
In ogni caso, qui hai un vecchio esempio su come abusare di questo per fare in modo che un server FTP scarichi un file da un diverso server FTP.
Vulnerabilità del server Filezilla
FileZilla di solito si vincola a un servizio amministrativo locale per il FileZilla-Server (porta 14147). Se riesci a creare un tunnel dalla tua macchina per accedere a questa porta, puoi connetterti ad essa utilizzando una password vuota e creare un nuovo utente per il servizio FTP.
File di configurazione
Post-Esploitation
La configurazione predefinita di vsFTPd può essere trovata in /etc/vsftpd.conf
. Qui potresti trovare alcune impostazioni pericolose:
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_root=/home/username/ftp
- Directory per anonimi.chown_uploads=YES
- Cambia proprietà dei file caricati anonimamentechown_username=username
- Utente a cui viene data la proprietà dei file caricati anonimamentelocal_enable=YES
- Abilita l'accesso degli utenti localino_anon_password=YES
- Non chiedere la password agli anonimiwrite_enable=YES
- Consenti comandi: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE e SITE
Shodan
ftp
port:21
Try Hard Security Group
Comandi Automatici di HackTricks
Last updated