hacktricks/network-services-pentesting/pentesting-ftp/README.md

297 lines
15 KiB
Markdown
Raw Normal View History

2024-02-11 01:46:25 +00:00
# 21 - Testowanie penetracyjne FTP
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
2024-02-11 01:46:25 +00:00
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**repozytorium hacktricks**](https://github.com/carlospolop/hacktricks) **i** [**repozytorium hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
2022-04-28 16:01:33 +00:00
</details>
**Grupa Try Hard Security**
<figure><img src="../../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
***
2024-02-11 01:46:25 +00:00
## Podstawowe informacje
2024-02-11 01:46:25 +00:00
**Protokół transferu plików (FTP)** służy jako standardowy protokół do transferu plików w sieci komputerowej między serwerem a klientem.\
Jest to **protokół tekstowy**, który używa jako **znaku nowej linii `0x0d 0x0a`**, dlatego czasami konieczne jest **połączenie za pomocą `telnet`** lub **`nc -C`**.
2024-02-11 01:46:25 +00:00
**Domyślny port:** 21
```
PORT STATE SERVICE
21/tcp open ftp
```
### Połączenia aktywne i pasywne
W **Aktywnym FTP** klient FTP najpierw **inicjuje** połączenie kontrolne z portu N do portu komend serwera FTP - port 21. Klient następnie **nasłuchuje** na porcie **N+1** i wysyła port N+1 do serwera FTP. Serwer FTP następnie **inicjuje** połączenie danych z **jego portu M do portu N+1** klienta FTP.
2022-10-02 18:09:01 +00:00
Jednakże, jeśli klient FTP ma ustawiony firewall kontrolujący przychodzące połączenia danych z zewnątrz, aktywny FTP może stanowić problem. Rozwiązaniem tego problemu jest pasywny FTP.
2022-10-02 18:09:01 +00:00
W **Pasywnym FTP**, klient inicjuje połączenie kontrolne z portu N do portu 21 serwera FTP. Następnie klient wysyła polecenie **passv**. Serwer następnie wysyła klientowi jeden ze swoich numerów portu M. Klient następnie **inicjuje** połączenie danych z **jego portu P do portu M** serwera FTP.
2022-10-02 18:09:01 +00:00
2024-02-11 01:46:25 +00:00
Źródło: [https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/](https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/)
2022-10-02 18:09:01 +00:00
2024-02-11 01:46:25 +00:00
### Debugowanie połączenia
2022-10-02 18:09:01 +00:00
Polecenia **FTP** **`debug`** i **`trace`** mogą być używane do zobaczenia, **jak zachodzi komunikacja**.
2024-02-11 01:46:25 +00:00
## Wyliczanie
2024-02-11 01:46:25 +00:00
### Pobieranie banera
```bash
2021-03-28 16:47:37 +00:00
nc -vn <IP> 21
2020-09-19 19:49:07 +00:00
openssl s_client -connect crossfit.htb:21 -starttls ftp #Get certificate if any
```
2024-02-11 01:46:25 +00:00
### Połączenie z FTP za pomocą starttls
```
2021-03-25 11:29:43 +00:00
lftp
lftp :~> set ftp:ssl-force true
lftp :~> set ssl:verify-certificate no
lftp :~> connect 10.10.10.208
2024-02-11 01:46:25 +00:00
lftp 10.10.10.208:~> login
2021-03-25 11:29:43 +00:00
Usage: login <user|URL> [<pass>]
lftp 10.10.10.208:~> login username Password
```
### Nieautoryzowane wyliczanie
2021-03-25 11:29:43 +00:00
2024-02-11 01:46:25 +00:00
Z użyciem **nmap**
2022-10-02 18:09:01 +00:00
```bash
sudo nmap -sV -p21 -sC -A 10.10.10.10
```
2024-02-11 01:46:25 +00:00
Możesz użyć poleceń `HELP` i `FEAT`, aby uzyskać informacje o serwerze FTP:
```
HELP
214-The following commands are recognized (* =>'s unimplemented):
2024-02-11 01:46:25 +00:00
214-CWD XCWD CDUP XCUP SMNT* QUIT PORT PASV
214-EPRT EPSV ALLO* RNFR RNTO DELE MDTM RMD
214-XRMD MKD XMKD PWD XPWD SIZE SYST HELP
214-NOOP FEAT OPTS AUTH CCC* CONF* ENC* MIC*
214-PBSZ PROT TYPE STRU MODE RETR STOR STOU
214-APPE REST ABOR USER PASS ACCT* REIN* LIST
214-NLST STAT SITE MLSD MLST
214 Direct comments to root@drei.work
2022-10-02 18:09:01 +00:00
FEAT
211-Features:
2024-02-11 01:46:25 +00:00
PROT
CCC
PBSZ
AUTH TLS
MFF modify;UNIX.group;UNIX.mode;
REST STREAM
MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
UTF8
EPRT
EPSV
LANG en-US
MDTM
SSCN
TVFS
MFMT
SIZE
211 End
2022-10-02 18:09:01 +00:00
STAT
#Info about the FTP server (version, configs, status...)
```
2024-02-11 01:46:25 +00:00
### Logowanie anonimowe
_anonymous : anonymous_\
_anonymous :_\
_ftp : ftp_
```bash
ftp <IP>
>anonymous
>anonymous
>ls -a # List all files (even hidden) (yes, they could be hidden)
>binary #Set transmission to binary instead of ascii
>ascii #Set transmission to ascii instead of binary
>bye #exit
```
### [Atak brutalnej siły](../../generic-methodologies-and-resources/brute-force.md#ftp)
Tutaj znajdziesz fajną listę domyślnych poświadczeń ftp: [https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt)
### Zautomatyzowane
2021-07-06 18:13:26 +00:00
Testy anonimowego logowania i odbicia FTP są domyślnie wykonywane przez nmap z opcją **-sC** lub:
2021-07-06 18:13:26 +00:00
```bash
nmap --script ftp-* -p 21 <ip>
```
2024-02-11 01:46:25 +00:00
## Połączenie przeglądarki
Możesz połączyć się z serwerem FTP za pomocą przeglądarki (np. Firefox) za pomocą adresu URL:
```bash
ftp://anonymous:anonymous@10.10.10.98
```
Zauważ, że jeśli **aplikacja internetowa** wysyła dane kontrolowane przez użytkownika **bezpośrednio do serwera FTP**, możesz wysłać podwójne kodowanie URL `%0d%0a` (w podwójnym kodowaniu URL to `%250d%250a`) bajtów i sprawić, że **serwer FTP wykona dowolne akcje**. Jedną z możliwych dowolnych akcji jest pobranie zawartości z serwera kontrolowanego przez użytkownika, przeprowadzenie skanowania portów lub próba komunikacji z innymi usługami opartymi na zwykłym tekście (np. http).
2024-02-11 01:46:25 +00:00
## Pobierz wszystkie pliki z FTP
```bash
wget -m ftp://anonymous:anonymous@10.10.10.98 #Donwload all
wget -m --no-passive ftp://anonymous:anonymous@10.10.10.98 #Download all
```
Jeśli Twój użytkownik/hasło zawiera znaki specjalne, można użyć [następującej komendy](https://stackoverflow.com/a/113900/13647948):
```bash
wget -r --user="USERNAME" --password="PASSWORD" ftp://server.com/
```
## Kilka poleceń FTP
2024-02-11 01:46:25 +00:00
* **`USER nazwa_użytkownika`**
* **`PASS hasło`**
* **`HELP`** Serwer wskazuje, które polecenia są obsługiwane
* \*\*`PORT 127,0,0,1,0,80`\*\*To spowoduje, że serwer FTP nawiąże połączenie z adresem IP 127.0.0.1 na porcie 80 (_musisz ustawić 5. znak jako "0" i 6. jako numer portu w systemie dziesiętnym lub użyć 5. i 6. znaku, aby wyrazić port w systemie szesnastkowym_).
* \*\*`EPRT |2|127.0.0.1|80|`\*\*To spowoduje, że serwer FTP nawiąże połączenie TCP (_oznaczone przez "2"_) z adresem IP 127.0.0.1 na porcie 80. To polecenie **obsługuje IPv6**.
* **`LIST`** Wyśle listę plików w bieżącym folderze
* **`LIST -R`** Lista rekursywnie (jeśli serwer zezwala)
* **`APPE /ścieżka/coś.txt`** Spowoduje, że FTP zapisze otrzymane dane z połączenia **pasywnego** lub z połączenia **PORT/EPRT** do pliku. Jeśli nazwa pliku istnieje, dane zostaną do niego dodane.
* **`STOR /ścieżka/coś.txt`** Podobne do `APPE`, ale nadpisze pliki
* **`STOU /ścieżka/coś.txt`** Podobne do `APPE`, ale jeśli plik istnieje, nic nie zrobi.
2024-02-11 01:46:25 +00:00
* **`RETR /ścieżka/do/pliku`** Należy nawiązać połączenie pasywne lub portowe. Następnie serwer FTP wyśle wskazany plik przez to połączenie
* **`REST 6`** Spowoduje, że serwer następnym razem, gdy wyśle coś za pomocą `RETR`, rozpocznie od 6. bajtu.
* **`TYPE i`** Ustawia transfer na binarny
* **`PASV`** Otwiera połączenie pasywne i wskaże użytkownikowi, gdzie może się połączyć
* **`PUT /tmp/plik.txt`** Wgrywa wskazany plik na FTP
![](<../../.gitbook/assets/image (383).png>)
2024-02-11 01:46:25 +00:00
## Atak FTPBounce
Niektóre serwery FTP pozwalają na użycie polecenia PORT. To polecenie można wykorzystać, aby wskazać serwerowi, że chcesz połączyć się z innym serwerem FTP na określonym porcie. Następnie można użyć tego do skanowania otwartych portów hosta za pośrednictwem serwera FTP.
2024-02-11 01:46:25 +00:00
[**Dowiedz się tutaj, jak wykorzystać serwer FTP do skanowania portów.**](ftp-bounce-attack.md)
Można również wykorzystać to zachowanie, aby sprawić, że serwer FTP będzie współpracował z innymi protokołami. Można **wgrać plik zawierający żądanie HTTP** i sprawić, że podatny serwer FTP **wyśle je do dowolnego serwera HTTP** (_może to być np. dodanie nowego użytkownika admina?_) lub nawet wgrać żądanie FTP i sprawić, że podatny serwer FTP pobierze plik z innego serwera FTP.\
2024-02-11 01:46:25 +00:00
Teoria jest prosta:
1. **Wgraj żądanie (w pliku tekstowym) na podatny serwer.** Pamiętaj, że jeśli chcesz porozmawiać z innym serwerem HTTP lub FTP, musisz zmienić linie na `0x0d 0x0a`
2. **Użyj `REST X`, aby uniknąć wysyłania znaków, których nie chcesz wysłać** (może być konieczne dodanie nagłówka obrazu na początku, aby wgrać żądanie do pliku)
2024-02-11 01:46:25 +00:00
3. **Użyj `PORT`, aby połączyć się z dowolnym serwerem i usługą**
4. **Użyj `RETR`, aby wysłać zapisane żądanie do serwera.**
Prawdopodobnie pojawi się błąd jak _**Socket not writable**_ **ponieważ połączenie nie trwa wystarczająco długo, aby wysłać dane za pomocą `RETR`**. Sugerowane sposoby próby uniknięcia tego to:
* Jeśli wysyłasz żądanie HTTP, **wysyłaj to samo żądanie jeden po drugim** do co najmniej **\~0.5MB**. Na przykład:
{% file src="../../.gitbook/assets/posts.txt" %}
posts.txt
{% endfile %}
* Spróbuj **wypełnić żądanie "śmieciami" związanymi z protokołem** (w przypadku rozmowy z FTP może to być po prostu polecenia "śmieci" lub powtarzanie instrukcji `RETR` do pobrania pliku)
2024-02-11 01:46:25 +00:00
* Po prostu **wypełnij żądanie dużą ilością znaków null lub innych** (podzielonych na linie lub nie)
W każdym razie, tutaj masz [stary przykład, jak wykorzystać to, aby sprawić, że serwer FTP pobierze plik z innego serwera FTP.](ftp-bounce-download-2oftp-file.md)
## Luka w zabezpieczeniach serwera Filezilla
**FileZilla** zazwyczaj **łączy się** z **usługą administracyjną** dla **FileZilla-Server** (port 14147). Jeśli możesz utworzyć **tunel** z **twojego urządzenia** do dostępu do tego portu, możesz się do **niego podłączyć** używając **pustego hasła** i **utworzyć** nowego użytkownika dla usługi FTP.
2024-02-11 01:46:25 +00:00
## Pliki konfiguracyjne
```
ftpusers
ftp.conf
proftpd.conf
2022-10-02 21:20:06 +00:00
vsftpd.conf
```
### Post-Exploitation
2022-10-02 21:20:06 +00:00
Domyślna konfiguracja vsFTPd znajduje się w `/etc/vsftpd.conf`. Tutaj można znaleźć niebezpieczne ustawienia:
2022-10-02 21:20:06 +00:00
* `anonymous_enable=YES`
* `anon_upload_enable=YES`
* `anon_mkdir_write_enable=YES`
* `anon_root=/home/username/ftp` - Katalog dla anonimowych.
* `chown_uploads=YES` - Zmiana właściciela anonimowo przesłanych plików
* `chown_username=username` - Użytkownik, który otrzymuje własność anonimowo przesłanych plików
2024-02-11 01:46:25 +00:00
* `local_enable=YES` - Włącz logowanie lokalnych użytkowników
* `no_anon_password=YES` - Nie pytaj anonimowego o hasło
* `write_enable=YES` - Pozwala na polecenia: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE i SITE
2022-10-02 21:20:06 +00:00
### Shodan
* `ftp`
* `port:21`
***
**Try Hard Security Group**
<figure><img src="../../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
2023-09-02 23:48:41 +00:00
{% embed url="https://discord.gg/tryhardsecurity" %}
***
## HackTricks Automatic Commands
```
2021-08-12 13:00:24 +00:00
Protocol_Name: FTP #Protocol Abbreviation if there is one.
Port_Number: 21 #Comma separated if there is more than one.
Protocol_Description: File Transfer Protocol #Protocol Abbreviation Spelled out
2021-08-15 17:23:50 +00:00
Entry_1:
2024-02-11 01:46:25 +00:00
Name: Notes
Description: Notes for FTP
Note: |
Anonymous Login
-bi <<< so that your put is done via binary
2021-08-15 17:23:50 +00:00
2024-02-11 01:46:25 +00:00
wget --mirror 'ftp://ftp_user:UTDRSCH53c"$6hys@10.10.10.59'
^^to download all dirs and files
2021-08-15 17:23:50 +00:00
2024-02-11 01:46:25 +00:00
wget --no-passive-ftp --mirror 'ftp://anonymous:anonymous@10.10.10.98'
if PASV transfer is disabled
2021-08-15 17:23:50 +00:00
2024-02-11 01:46:25 +00:00
https://book.hacktricks.xyz/pentesting/pentesting-ftp
2021-08-15 17:23:50 +00:00
Entry_2:
2024-02-11 01:46:25 +00:00
Name: Banner Grab
Description: Grab FTP Banner via telnet
Command: telnet -n {IP} 21
2021-08-15 17:23:50 +00:00
Entry_3:
2024-02-11 01:46:25 +00:00
Name: Cert Grab
Description: Grab FTP Certificate if existing
Command: openssl s_client -connect {IP}:21 -starttls ftp
2021-08-15 17:23:50 +00:00
Entry_4:
2024-02-11 01:46:25 +00:00
Name: nmap ftp
Description: Anon login and bounce FTP checks are performed
Command: nmap --script ftp-* -p 21 {IP}
2021-08-15 17:23:50 +00:00
Entry_5:
2024-02-11 01:46:25 +00:00
Name: Browser Connection
Description: Connect with Browser
Note: ftp://anonymous:anonymous@{IP}
2021-09-13 15:27:07 +00:00
Entry_6:
2024-02-11 01:46:25 +00:00
Name: Hydra Brute Force
Description: Need Username
Command: hydra -t 1 -l {Username} -P {Big_Passwordlist} -vV {IP} ftp
Entry_7:
2024-02-11 01:46:25 +00:00
Name: consolesless mfs enumeration ftp
Description: FTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ftp/anonymous; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/ftp_version; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/bison_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/colorado_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/titanftp_xcrc_traversal; set RHOSTS {IP}; set RPORT 21; run; exit'
2021-08-12 13:00:24 +00:00
```
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
* Czy pracujesz w **firmie z branży cyberbezpieczeństwa**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
2024-02-11 01:46:25 +00:00
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**repozytorium hacktricks**](https://github.com/carlospolop/hacktricks) **i** [**repozytorium hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
2022-04-28 16:01:33 +00:00
</details>