# 21 - Pentesting FTP
{% hint style="success" %}
Leer & oefen AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Leer & oefen GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Kyk na die [**subskripsie planne**](https://github.com/sponsors/carlospolop)!
* **Sluit aan by die** đŹ [**Discord groep**](https://discord.gg/hRep4RUj7f) of die [**telegram groep**](https://t.me/peass) of **volg** ons op **Twitter** đŠ [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Deel hacking truuks deur PRs in te dien na die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
**Try Hard Security Group**
{% embed url="https://discord.gg/tryhardsecurity" %}
***
## Basiese Inligting
Die **File Transfer Protocol (FTP)** dien as 'n standaard protokol vir lĂȘer oordrag oor 'n rekenaar netwerk tussen 'n bediener en 'n kliĂ«nt.\
Dit is 'n **plain-text** protokol wat gebruik maak van 'n **nuwe lyn karakter `0x0d 0x0a`** so soms moet jy **verbinde met `telnet`** of **`nc -C`**.
**Standaard Poort:** 21
```
PORT STATE SERVICE
21/tcp open ftp
```
### Verbindinge Aktief & Passief
In **Aktiewe FTP** begin die FTP **klient** eers die kontrole **verbinding** vanaf sy poort N na die FTP Bediener se kommando poort â poort 21. Die **klient** luister dan na poort **N+1** en stuur die poort N+1 na die FTP Bediener. Die FTP **Bediener** begin dan die data **verbinding**, vanaf **sy poort M na die poort N+1** van die FTP Klient.
Maar, as die FTP Klient 'n firewall opgestel het wat die inkomende dataverbindinge van buite beheer, kan aktiewe FTP 'n probleem wees. En, 'n haalbare oplossing daarvoor is Passiewe FTP.
In **Passiewe FTP**, begin die klient die kontrole verbinding vanaf sy poort N na die poort 21 van die FTP Bediener. Na hierdie, gee die klient 'n **passv kommando** uit. Die bediener stuur dan vir die klient een van sy poortnommers M. En die **klient** **begin** die data **verbinding** vanaf **sy poort P na poort M** van die FTP Bediener.
Source: [https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/](https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/)
### Verbinding foutopsporing
Die **FTP** opdragte **`debug`** en **`trace`** kan gebruik word om te sien **hoe die kommunikasie plaasvind**.
## Enumerasie
### Banner Grabbing
```bash
nc -vn 21
openssl s_client -connect crossfit.htb:21 -starttls ftp #Get certificate if any
```
### Verbinde met FTP met starttls
```
lftp
lftp :~> set ftp:ssl-force true
lftp :~> set ssl:verify-certificate no
lftp :~> connect 10.10.10.208
lftp 10.10.10.208:~> login
Usage: login []
lftp 10.10.10.208:~> login username Password
```
### Unauth enum
Met **nmap**
```bash
sudo nmap -sV -p21 -sC -A 10.10.10.10
```
U kan die opdragte `HELP` en `FEAT` gebruik om inligting van die FTP-bediener te verkry:
```
HELP
214-The following commands are recognized (* =>'s unimplemented):
214-CWD XCWD CDUP XCUP SMNT* QUIT PORT PASV
214-EPRT EPSV ALLO* RNFR RNTO DELE MDTM RMD
214-XRMD MKD XMKD PWD XPWD SIZE SYST HELP
214-NOOP FEAT OPTS AUTH CCC* CONF* ENC* MIC*
214-PBSZ PROT TYPE STRU MODE RETR STOR STOU
214-APPE REST ABOR USER PASS ACCT* REIN* LIST
214-NLST STAT SITE MLSD MLST
214 Direct comments to root@drei.work
FEAT
211-Features:
PROT
CCC
PBSZ
AUTH TLS
MFF modify;UNIX.group;UNIX.mode;
REST STREAM
MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
UTF8
EPRT
EPSV
LANG en-US
MDTM
SSCN
TVFS
MFMT
SIZE
211 End
STAT
#Info about the FTP server (version, configs, status...)
```
### Anonieme aanmelding
_anonieme : anonieme_\
_anonieme :_\
_ftp : ftp_
```bash
ftp
>anonymous
>anonymous
>ls -a # List all files (even hidden) (yes, they could be hidden)
>binary #Set transmission to binary instead of ascii
>ascii #Set transmission to ascii instead of binary
>bye #exit
```
### [Brute force](../../generic-methodologies-and-resources/brute-force.md#ftp)
Hier kan jy 'n mooi lys met standaard ftp geloofsbriewe vind: [https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt)
### Geoutomatiseerd
Anon inlog en bounce FTP kontrole word standaard deur nmap uitgevoer met **-sC** opsie of:
```bash
nmap --script ftp-* -p 21
```
## Blaaierverbinding
Jy kan met 'n FTP-bediener verbind deur 'n blaaier (soos Firefox) te gebruik met 'n URL soos:
```bash
ftp://anonymous:anonymous@10.10.10.98
```
Let wel dat as 'n **webtoepassing** data wat deur 'n gebruiker beheer word **direk na 'n FTP-bediener** stuur, jy kan dubbele URL-kodering `%0d%0a` (in dubbele URL-kodering is dit `%250d%250a`) bytes stuur en die **FTP-bediener dwing om arbitrĂȘre aksies** uit te voer. Een van hierdie moontlike arbitrĂȘre aksies is om inhoud van 'n gebruiker se beheerde bediener af te laai, poortskandering uit te voer of te probeer om met ander teksgebaseerde dienste (soos http) te kommunikeer.
## Laai alle lĂȘers van FTP af
```bash
wget -m ftp://anonymous:anonymous@10.10.10.98 #Donwload all
wget -m --no-passive ftp://anonymous:anonymous@10.10.10.98 #Download all
```
As jou gebruiker/wagwoord spesiale karakters het, kan die [volgende opdrag](https://stackoverflow.com/a/113900/13647948) gebruik word:
```bash
wget -r --user="USERNAME" --password="PASSWORD" ftp://server.com/
```
## Sommige FTP-opdragte
* **`USER username`**
* **`PASS password`**
* **`HELP`** Die bediener dui aan watter opdragte ondersteun word
* \*\*`PORT 127,0,0,1,0,80`\*\*Dit sal die FTP-bediener aandui om 'n verbinding met die IP 127.0.0.1 op poort 80 te vestig (_jy moet die 5de karakter as "0" en die 6de as die poort in desimale of gebruik die 5de en 6de om die poort in hex uit te druk_).
* \*\*`EPRT |2|127.0.0.1|80|`\*\*Dit sal die FTP-bediener aandui om 'n TCP-verbinding (_aangedui deur "2"_) met die IP 127.0.0.1 op poort 80 te vestig. Hierdie opdrag **ondersteun IPv6**.
* **`LIST`** Dit sal die lys van lĂȘers in die huidige gids stuur
* **`LIST -R`** Lys rekursief (as deur die bediener toegelaat)
* **`APPE /path/something.txt`** Dit sal die FTP aandui om die data wat van 'n **passiewe** verbinding of van 'n **PORT/EPRT** verbinding ontvang is, na 'n lĂȘer te stoor. As die lĂȘernaam bestaan, sal dit die data byvoeg.
* **`STOR /path/something.txt`** Soos `APPE` maar dit sal die lĂȘers oorskryf
* **`STOU /path/something.txt`** Soos `APPE`, maar as dit bestaan, sal dit niks doen nie.
* **`RETR /path/to/file`** 'n Passiewe of 'n poortverbinding moet gevestig word. Dan sal die FTP-bediener die aangeduide lĂȘer deur daardie verbinding stuur
* **`REST 6`** Dit sal die bediener aandui dat dit die volgende keer wat dit iets stuur met `RETR` in die 6de byte moet begin.
* **`TYPE i`** Stel oordrag na binĂȘr
* **`PASV`** Dit sal 'n passiewe verbinding oopmaak en die gebruiker aandui waar hy kan aansluit
* **`PUT /tmp/file.txt`** Laai die aangeduide lĂȘer na die FTP op
.png>)
## FTPBounce-aanval
Sommige FTP-bedieners laat die opdrag PORT toe. Hierdie opdrag kan gebruik word om die bediener aan te dui dat jy wil aansluit by 'n ander FTP-bediener op 'n sekere poort. Dan kan jy dit gebruik om te skandeer watter poorte van 'n gasheer oop is deur 'n FTP-bediener.
[**Leer hier hoe om 'n FTP-bediener te misbruik om poorte te skandeer.**](ftp-bounce-attack.md)
Jy kan ook hierdie gedrag misbruik om 'n FTP-bediener met ander protokolle te laat interaksie hĂȘ. Jy kan **'n lĂȘer wat 'n HTTP-versoek bevat, oplaai** en die kwesbare FTP-bediener **dit na 'n arbitrĂȘre HTTP-bediener laat stuur** (_miskien om 'n nuwe admin gebruiker by te voeg?_) of selfs 'n FTP-versoek oplaai en die kwesbare FTP-bediener 'n lĂȘer vir 'n ander FTP-bediener laat aflaai.\
Die teorie is eenvoudig:
1. **Laai die versoek (binne 'n tekslĂȘer) na die kwesbare bediener op.** Onthou dat as jy met 'n ander HTTP of FTP-bediener wil praat, jy lyne moet verander met `0x0d 0x0a`
2. **Gebruik `REST X` om te verhoed dat jy die karakters stuur wat jy nie wil stuur nie** (miskien om die versoek binne die lĂȘer op te laai, moes jy 'n paar beeldkop in die begin sit)
3. **Gebruik `PORT` om met die arbitrĂȘre bediener en diens te verbind**
4. **Gebruik `RETR` om die gestoor versoek na die bediener te stuur.**
Dit is hoogs waarskynlik dat dit **'n fout soos** _**Socket nie skryfbaar**_ **sal gooi omdat die verbinding nie lank genoeg duur om die data met `RETR` te stuur nie**. Voorstelle om te probeer om dit te vermy is:
* As jy 'n HTTP-versoek stuur, **sit die dieselfde versoek een na die ander** totdat **\~0.5MB** ten minste. Soos hierdie:
{% file src="../../.gitbook/assets/posts.txt" %}
posts.txt
{% endfile %}
* Probeer om die versoek met "rommel" data wat verband hou met die protokol te **vol** (as jy met FTP praat, miskien net rommelopdragte of die `RETR`-instruksie herhaal om die lĂȘer te kry)
* Net **vol die versoek met baie null karakters of ander** (verdeeld op lyne of nie)
In elk geval, hier het jy 'n [ou voorbeeld oor hoe om dit te misbruik om 'n FTP-bediener 'n lĂȘer van 'n ander FTP-bediener af te laai.](ftp-bounce-download-2oftp-file.md)
## Filezilla Bediener Kwesbaarheid
**FileZilla** bind gewoonlik **lokal** 'n **Administratiewe diens** vir die **FileZilla-Server** (poort 14147). As jy 'n **tonnel** van **jou masjien** kan skep om toegang tot hierdie poort te verkry, kan jy **verbinde** met **dit** met 'n **leë wagwoord** en **'n nuwe gebruiker** vir die FTP-diens **skep**.
## Konfig-lĂȘers
```
ftpusers
ftp.conf
proftpd.conf
vsftpd.conf
```
### Post-Exploitation
Die standaardkonfigurasie van vsFTPd kan gevind word in `/etc/vsftpd.conf`. Hier kan jy 'n paar gevaarlike instellings vind:
* `anonymous_enable=YES`
* `anon_upload_enable=YES`
* `anon_mkdir_write_enable=YES`
* `anon_root=/home/username/ftp` - Gids vir anonieme gebruikers.
* `chown_uploads=YES` - Verander eienaarskap van anoniem opgelaaide lĂȘers
* `chown_username=username` - Gebruiker wat eienaarskap van anoniem opgelaaide lĂȘers ontvang
* `local_enable=YES` - Aktiveer plaaslike gebruikers om in te log
* `no_anon_password=YES` - Moet nie anonieme gebruikers om 'n wagwoord vra nie
* `write_enable=YES` - Laat opdragte toe: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE, en SITE
### Shodan
* `ftp`
* `port:21`
***
**Try Hard Security Group**
{% embed url="https://discord.gg/tryhardsecurity" %}
***
## HackTricks Automatic Commands
```
Protocol_Name: FTP #Protocol Abbreviation if there is one.
Port_Number: 21 #Comma separated if there is more than one.
Protocol_Description: File Transfer Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for FTP
Note: |
Anonymous Login
-bi <<< so that your put is done via binary
wget --mirror 'ftp://ftp_user:UTDRSCH53c"$6hys@10.10.10.59'
^^to download all dirs and files
wget --no-passive-ftp --mirror 'ftp://anonymous:anonymous@10.10.10.98'
if PASV transfer is disabled
https://book.hacktricks.xyz/pentesting/pentesting-ftp
Entry_2:
Name: Banner Grab
Description: Grab FTP Banner via telnet
Command: telnet -n {IP} 21
Entry_3:
Name: Cert Grab
Description: Grab FTP Certificate if existing
Command: openssl s_client -connect {IP}:21 -starttls ftp
Entry_4:
Name: nmap ftp
Description: Anon login and bounce FTP checks are performed
Command: nmap --script ftp-* -p 21 {IP}
Entry_5:
Name: Browser Connection
Description: Connect with Browser
Note: ftp://anonymous:anonymous@{IP}
Entry_6:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -t 1 -l {Username} -P {Big_Passwordlist} -vV {IP} ftp
Entry_7:
Name: consolesless mfs enumeration ftp
Description: FTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ftp/anonymous; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/ftp_version; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/bison_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/colorado_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/titanftp_xcrc_traversal; set RHOSTS {IP}; set RPORT 21; run; exit'
```
{% hint style="success" %}
Leer & oefen AWS Hacking:[**HackTricks Opleiding AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Leer & oefen GCP Hacking: [**HackTricks Opleiding GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Ondersteun HackTricks
* Kyk na die [**subskripsie planne**](https://github.com/sponsors/carlospolop)!
* **Sluit aan by die** đŹ [**Discord groep**](https://discord.gg/hRep4RUj7f) of die [**telegram groep**](https://t.me/peass) of **volg** ons op **Twitter** đŠ [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Deel hacking truuks deur PRs in te dien na die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)
[**HackTricks Training GCP Red Team Expert (GRTE)**