hacktricks/network-services-pentesting/pentesting-ftp/README.md

# 21 - FTP Pentesting

<details>

<summary><strong>AWS hacklemeyi sıfırdan kahramanla öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>

* Bir **cybersecurity şirketinde** çalışıyor musunuz? **Şirketinizi HackTricks'te reklamını görmek** ister misiniz? veya **PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek** ister misiniz? [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**The PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family), özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuzu keşfedin
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) alın
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter**'da takip edin 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Hacking hilelerinizi [hacktricks repo](https://github.com/carlospolop/hacktricks) ve [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)'ya PR göndererek paylaşın**.

</details>

<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

En önemli olan zayıflıkları bulun, böylece daha hızlı düzeltebilirsiniz. Intruder saldırı yüzeyinizi takip eder, proaktif tehdit taramaları yapar, API'lerden web uygulamalarına ve bulut sistemlerine kadar tüm teknoloji yığınınızda sorunları bulur. [**Ücretsiz deneyin**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) bugün.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

***

## Temel Bilgiler

**Dosya Transfer Protokolü (FTP)**, bir sunucu ve istemci arasında bir bilgisayar ağı üzerinde dosya transferi için standart bir protokol olarak hizmet eder.\
Bu, bazen **`telnet`** veya **`nc -C`** kullanarak bağlanmanız gerekebilen **düz metin** bir protokoldür.

**Varsayılan Port:** 21
```
PORT   STATE SERVICE
21/tcp open  ftp
```
### Aktif ve Pasif Bağlantılar

**Aktif FTP**'de FTP **istemcisi**, kontrol bağlantısını ilk olarak N numaralı bağlantı noktasından FTP Sunucusunun komut bağlantı noktasına (21 numaralı bağlantı noktası) başlatır. İstemci daha sonra N+1 numaralı bağlantı noktasını dinler ve N+1 numaralı bağlantı noktasını FTP Sunucusuna gönderir. FTP **Sunucusu** daha sonra veri bağlantısını, kendi M numaralı bağlantı noktasından FTP İstemcisinin N+1 numaralı bağlantı noktasına başlatır.

Ancak, eğer FTP İstemcisinin dışarıdan gelen veri bağlantılarını kontrol eden bir güvenlik duvarı kurulumu varsa, aktif FTP bir sorun olabilir. Bunun için uygun bir çözüm Pasif FTP'dir.

**Pasif FTP**'de, istemci kontrol bağlantısını N numaralı bağlantı noktasından FTP Sunucusunun 21 numaralı bağlantı noktasına başlatır. Bundan sonra, istemci bir **passv komutu** gönderir. Sunucu daha sonra istemciye kendi bir bağlantı noktası numarası M gönderir. Ve **istemci**, veri bağlantısını, kendi P numaralı bağlantı noktasından FTP Sunucusunun M numaralı bağlantı noktasına başlatır.

Kaynak: [https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/](https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/)

### Bağlantı hata ayıklama

**FTP** komutları **`debug`** ve **`trace`**, iletişimin nasıl gerçekleştiğini görmek için kullanılabilir.

## Numaralandırma

### Banner Yakalama
```bash
nc -vn <IP> 21
openssl s_client -connect crossfit.htb:21 -starttls ftp #Get certificate if any
```
### FTP'ye starttls kullanarak bağlanma

Bazı FTP sunucuları, güvenli bir bağlantı sağlamak için STARTTLS (Transport Layer Security) protokolünü destekler. Bu protokolü kullanarak FTP sunucusuna bağlanabilir ve verilerinizi şifreleyebilirsiniz.

1. Öncelikle, FTP sunucusuna bağlanmak için bir FTP istemcisi kullanmanız gerekmektedir. Örneğin, FileZilla veya WinSCP gibi popüler FTP istemcilerini tercih edebilirsiniz.

2. FTP istemcinizi açın ve sunucu adresini, kullanıcı adını ve parolayı girin.

3. Bağlantı ayarlarınızı yapılandırırken, sunucu türünü "FTP - File Transfer Protocol" olarak seçin.

4. Genellikle, FTP sunucuları varsayılan olarak şifreleme kullanmaz. Bu nedenle, sunucuyla güvenli bir bağlantı kurmak için "FTP over TLS" veya "FTP over SSL" seçeneğini etkinleştirmeniz gerekebilir.

5. Ayarları yapılandırdıktan sonra, bağlantı düğmesine tıklayarak FTP sunucusuna bağlanın.

6. FTP sunucusu, STARTTLS komutunu destekliyorsa, bağlantı kurulduktan sonra sunucu tarafından bir güvenlik sertifikası sunulacaktır. Bu sertifikayı doğrulayın ve kabul edin.

7. STARTTLS başarıyla tamamlandıktan sonra, FTP istemcisi ve sunucusu arasındaki veri iletişimi şifrelenecektir.

Bu şekilde, FTP sunucusuna starttls kullanarak güvenli bir bağlantı kurabilir ve verilerinizi koruyabilirsiniz.
```
lftp
lftp :~> set ftp:ssl-force true
lftp :~> set ssl:verify-certificate no
lftp :~> connect 10.10.10.208
lftp 10.10.10.208:~> login
Usage: login <user|URL> [<pass>]
lftp 10.10.10.208:~> login username Password
```
### Yetkisiz enum

**nmap** ile
```bash
sudo nmap -sV -p21 -sC -A 10.10.10.10
```
FTP sunucusu hakkında bazı bilgiler elde etmek için `HELP` ve `FEAT` komutlarını kullanabilirsiniz:
```
HELP
214-The following commands are recognized (* =>'s unimplemented):
214-CWD     XCWD    CDUP    XCUP    SMNT*   QUIT    PORT    PASV
214-EPRT    EPSV    ALLO*   RNFR    RNTO    DELE    MDTM    RMD
214-XRMD    MKD     XMKD    PWD     XPWD    SIZE    SYST    HELP
214-NOOP    FEAT    OPTS    AUTH    CCC*    CONF*   ENC*    MIC*
214-PBSZ    PROT    TYPE    STRU    MODE    RETR    STOR    STOU
214-APPE    REST    ABOR    USER    PASS    ACCT*   REIN*   LIST
214-NLST    STAT    SITE    MLSD    MLST
214 Direct comments to root@drei.work

FEAT
211-Features:
PROT
CCC
PBSZ
AUTH TLS
MFF modify;UNIX.group;UNIX.mode;
REST STREAM
MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
UTF8
EPRT
EPSV
LANG en-US
MDTM
SSCN
TVFS
MFMT
SIZE
211 End

STAT
#Info about the FTP server (version, configs, status...)
```
### Anonim giriş

_anonymous : anonymous_\
_anonymous :_\
_ftp : ftp_
```bash
ftp <IP>
>anonymous
>anonymous
>ls -a # List all files (even hidden) (yes, they could be hidden)
>binary #Set transmission to binary instead of ascii
>ascii #Set transmission to ascii instead of binary
>bye #exit
```
### [Brute force](../../generic-methodologies-and-resources/brute-force.md#ftp)

İşte varsayılan ftp kimlik bilgileriyle ilgili güzel bir liste bulabilirsiniz: [https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt)

### Otomatik

Anonim giriş ve bounce FTP kontrolleri, nmap tarafından varsayılan olarak **-sC** seçeneğiyle veya aşağıdaki komutla gerçekleştirilir:
```bash
nmap --script ftp-* -p 21 <ip>
```
## Tarayıcı bağlantısı

Bir FTP sunucusuna tarayıcı (örneğin Firefox) kullanarak şu şekilde bir URL kullanarak bağlanabilirsiniz:
```bash
ftp://anonymous:anonymous@10.10.10.98
```
## FTP'ten tüm dosyaları indirme

FTP sunucusundan tüm dosyaları indirmek için aşağıdaki adımları izleyebilirsiniz:

1. Bir FTP istemcisi kullanarak FTP sunucusuna bağlanın.
2. Oturum açmak için gerekli kimlik bilgilerini sağlayın.
3. Sunucu üzerindeki tüm dosyaları listelemek için `LIST` komutunu kullanın.
4. Dosyaları indirmek için `RETR` komutunu kullanın.
5. İndirilen dosyaları belirli bir konuma kaydedin.

Bu adımları takip ederek FTP sunucusundaki tüm dosyaları indirebilirsiniz.
```bash
wget -m ftp://anonymous:anonymous@10.10.10.98 #Donwload all
wget -m --no-passive ftp://anonymous:anonymous@10.10.10.98 #Download all
```
Eğer kullanıcı/şifreniz özel karakterler içeriyorsa, [aşağıdaki komut](https://stackoverflow.com/a/113900/13647948) kullanılabilir:
```bash
wget -r --user="USERNAME" --password="PASSWORD" ftp://server.com/
```
## Bazı FTP komutları

* **`USER kullanıcı_adı`**
* **`PASS şifre`**
* **`HELP`** Sunucu desteklediği komutları gösterir
* **`PORT 127,0,0,1,0,80`** Bu, FTP sunucusuna 127.0.0.1 IP adresinde 80 numaralı bağlantıyı kurmasını söyler (_5. karakteri "0" ve 6. karakteri ondalık olarak port numarası olarak belirtmelisiniz veya 5. ve 6. karakterleri onaltılık olarak kullanarak port numarasını ifade edebilirsiniz_).
* **`EPRT |2|127.0.0.1|80|`** Bu, FTP sunucusuna 127.0.0.1 IP adresinde 80 numaralı bir TCP bağlantısı (_"2" ile belirtilir_) kurmasını söyler. Bu komut **IPv6'yı destekler**.
* **`LIST`** Bu, mevcut klasördeki dosyaların listesini gönderir
* **`LIST -R`** Yinelemeli olarak listeler (sunucu tarafından izin verilirse)
* **`APPE /yol/birşey.txt`** Bu, FTP'ye **pasif** bir bağlantıdan veya bir **PORT/EPRT** bağlantısından gelen verileri bir dosyaya kaydetmesini söyler. Dosya adı varsa, verileri ekler.
* **`STOR /yol/birşey.txt`** `APPE` gibi ancak dosyaları üzerine yazar
* **`STOU /yol/birşey.txt`** `APPE` gibi, ancak varsa hiçbir şey yapmaz.
* **`RETR /yol/dosya`** Pasif veya port bağlantısı kurulmalıdır. Ardından, FTP sunucusu belirtilen dosyayı bu bağlantı üzerinden gönderir
* **`REST 6`** Bu, sunucuya, bir sonraki seferinde `RETR` kullanarak bir şey gönderdiğinde 6. bayttan başlaması gerektiğini belirtir.
* **`TYPE i`** Aktarımı ikili olarak ayarlar
* **`PASV`** Bu, pasif bir bağlantı açar ve kullanıcıya bağlanabileceği yeri gösterir
* **`PUT /tmp/dosya.txt`** Belirtilen dosyayı FTP'ye yükler

![](<../../.gitbook/assets/image (227).png>)

## FTPBounce saldırısı

Bazı FTP sunucuları PORT komutuna izin verir. Bu komut, bir sunucunun başka bir FTP sunucusuna belirli bir portta bağlanmak istediğini belirtmek için kullanılabilir. Ardından, bir FTP sunucusu aracılığıyla bir ana bilgisayarın hangi portlarının açık olduğunu taramak için bunu kullanabilirsiniz.

[**Buradan bir FTP sunucusunu taramak için FTP sunucusunu kötüye kullanmayı öğrenin.**](ftp-bounce-attack.md)

Bu davranışı kötüye kullanarak bir FTP sunucusunu başka protokollerle etkileşime sokabilirsiniz. Bir HTTP isteği içeren bir dosya yükleyebilir ve güvenlik açığına sahip FTP sunucusunun bunu bir keyfi HTTP sunucusuna göndermesini sağlayabilirsiniz (_belki yeni bir yönetici kullanıcısı eklemek için?_) veya bir FTP isteği yükleyebilir ve güvenlik açığına sahip FTP sunucusunun farklı bir FTP sunucusundan bir dosya indirmesini sağlayabilirsiniz.\
Teorisi basittir:

1. **İsteği (bir metin dosyasının içine) güvenlik açığına sahip sunucuya yükleyin.** Başka bir HTTP veya FTP sunucusuyla konuşmak istiyorsanız, `0x0d 0x0a` ile satırları değiştirmeniz gerektiğini unutmayın.
2. **Göndermek istemediğiniz karakterleri göndermemek için `REST X` kullanın** (belki isteği dosyanın içine yüklemek için başlangıçta bazı görüntü başlığı koymak zorunda kaldınız)
3. **Arbitrary sunucu ve servise bağlanmak için `PORT` kullanın**
4. **Kaydedilen isteği sunucuya göndermek için `RETR` kullanın.**

Bu, **_Socket not writable_** gibi bir hata verecektir, çünkü bağlantı, verileri `RETR` ile göndermek için yeterince uzun sürmez. Bunu önlemek için denenebilecek öneriler şunlardır:

* Bir HTTP isteği gönderiyorsanız, en azından **\~0.5MB** kadar **aynı isteği birbirinden sonra koyun**. Böyle yapın:

{% file src="../../.gitbook/assets/posts (1).txt" %}
posts.txt
{% endfile %}

* İsteği, protokole göre **"boş" verilerle doldurmaya çalışın** (FTP ile konuşurken sadece boş komutlar veya `RETR` talimatını tekrarlayarak dosyayı almak)
* İsteği sadece **çok sayıda null karakter veya diğerleriyle doldurun** (satırlara veya satırlara bölünmüş)

Neyse, burada [bir FTP sunucusunun başka bir FTP sunucusundan bir dosya indirmesini sağlamak için bunu kötüye kullanma hakkında eski bir örnek](ftp-bounce-download-2oftp-file.md) bulunmaktadır.

## Filezilla Sunucusu Güvenlik Açığı

**FileZilla**, genellikle **FileZilla Sunucusu** için bir **Yönetici hizmetini** yerel olarak **bağlar** (port 14147). Bu bağlantı noktasına erişmek için **makinenizden** bir **tünel** oluşturabilirseniz, FTP hizmeti için bir **yeni kullanıcı** oluşturmak için **boş bir şifre** kullanarak **buna** bağlanabilirsiniz. 

## Yapılandırma dosyaları
```
ftpusers
ftp.conf
proftpd.conf
vsftpd.conf
```
### Sonrası Sızma

vsFTPd'nin varsayılan yapılandırması `/etc/vsftpd.conf` dosyasında bulunabilir. Burada bazı tehlikeli ayarlar bulunabilir:

* `anonymous_enable=YES`
* `anon_upload_enable=YES`
* `anon_mkdir_write_enable=YES`
* `anon_root=/home/kullaniciadi/ftp` - Anonim için dizin.
* `chown_uploads=YES` - Anonim olarak yüklenen dosyaların sahipliğini değiştirir.
* `chown_username=kullaniciadi` - Anonim olarak yüklenen dosyaların sahipliği verilen kullanıcıya aittir.
* `local_enable=YES` - Yerel kullanıcıların giriş yapmasına izin verir.
* `no_anon_password=YES` - Anonimden şifre isteme.
* `write_enable=YES` - STOR, DELE, RNFR, RNTO, MKD, RMD, APPE ve SITE komutlarına izin verir.

### Shodan

* `ftp`
* `port:21`

<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

En önemli olan zafiyetleri bulun ve daha hızlı düzeltebilin. Intruder saldırı yüzeyinizi takip eder, proaktif tehdit taramaları yapar, API'lerden web uygulamalarına ve bulut sistemlerine kadar tüm teknoloji yığınınızda sorunları bulur. [**Ücretsiz deneyin**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) bugün.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

***

## HackTricks Otomatik Komutları
```
Protocol_Name: FTP    #Protocol Abbreviation if there is one.
Port_Number:  21     #Comma separated if there is more than one.
Protocol_Description: File Transfer Protocol          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for FTP
Note: |
Anonymous Login
-bi     <<< so that your put is done via binary

wget --mirror 'ftp://ftp_user:UTDRSCH53c"$6hys@10.10.10.59'
^^to download all dirs and files

wget --no-passive-ftp --mirror 'ftp://anonymous:anonymous@10.10.10.98'
if PASV transfer is disabled

https://book.hacktricks.xyz/pentesting/pentesting-ftp

Entry_2:
Name: Banner Grab
Description: Grab FTP Banner via telnet
Command: telnet -n {IP} 21

Entry_3:
Name: Cert Grab
Description: Grab FTP Certificate if existing
Command: openssl s_client -connect {IP}:21 -starttls ftp

Entry_4:
Name: nmap ftp
Description: Anon login and bounce FTP checks are performed
Command: nmap --script ftp-* -p 21 {IP}

Entry_5:
Name: Browser Connection
Description: Connect with Browser
Note: ftp://anonymous:anonymous@{IP}

Entry_6:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -t 1 -l {Username} -P {Big_Passwordlist} -vV {IP} ftp

Entry_7:
Name: consolesless mfs enumeration ftp
Description: FTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ftp/anonymous; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/ftp_version; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/bison_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/colorado_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' &&  msfconsole -q -x 'use auxiliary/scanner/ftp/titanftp_xcrc_traversal; set RHOSTS {IP}; set RPORT 21; run; exit'
```
<details>

<summary><strong>AWS hacklemeyi sıfırdan kahraman seviyesine öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>

* Bir **cybersecurity şirketinde mi çalışıyorsunuz**? **Şirketinizi HackTricks'te reklamını görmek** ister misiniz? veya **PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek** ister misiniz? [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**The PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family), özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonunu keşfedin.
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin.
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter**'da beni takip edin 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Hacking hilelerinizi [hacktricks repo](https://github.com/carlospolop/hacktricks) ve [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)'ya PR göndererek paylaşın**.

</details>