.. | ||
ftp-bounce-attack.md | ||
ftp-bounce-download-2oftp-file.md | ||
README.md |
21 - Pentesting FTP
Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!
- Werk jy in 'n cybersekuriteitsmaatskappy? Wil jy jou maatskappy geadverteer sien in HackTricks? of wil jy toegang hê tot die nuutste weergawe van die PEASS of HackTricks aflaai in PDF? Kyk na die INSKRYWINGSPLANNE!
- Ontdek Die PEASS-familie, ons versameling eksklusiewe NFT's
- Kry die amptelike PEASS & HackTricks swag
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg my op Twitter 🐦@carlospolopm.
- Deel jou haktruuks deur PR's in te dien by die hacktricks-opslag en hacktricks-cloud-opslag.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
Basiese Inligting
Die Lêeroordragprotokol (FTP) dien as 'n standaardprotokol vir lêeroordrag oor 'n rekenaarnetwerk tussen 'n bediener en 'n klient.
Dit is 'n teksgebaseerde protokol wat die nuwe lynkarakter 0x0d 0x0a
gebruik, sodat jy soms moet verbind deur middel van telnet
of nc -C
.
Verstekpoort: 21
PORT STATE SERVICE
21/tcp open ftp
Verbindings Aktief & Passief
In Aktiewe FTP inisieer die FTP klient eerste die beheer verbindings vanaf sy poort N na die FTP-bediener se bevelspoort - poort 21. Die klient luister dan na poort N+1 en stuur die poort N+1 na die FTP-bediener. FTP Bediener inisieer dan die data verbindings, vanaf sy poort M na die poort N+1 van die FTP-klient.
Maar, as die FTP-klient 'n vuurmuuropstelling het wat die inkomende data verbindings van buite beheer, kan aktiewe FTP 'n probleem wees. En 'n uitvoerbare oplossing daarvoor is Passiewe FTP.
In Passiewe FTP, inisieer die klient die beheer verbindings vanaf sy poort N na poort 21 van die FTP-bediener. Hierna gee die klient 'n passv bevel uit. Die bediener stuur dan een van sy poortnommer M na die klient. En die klient inisieer die data verbindings vanaf sy poort P na poort M van die FTP-bediener.
Bron: https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/
Verbindingsfoutopsporing
Die FTP bevele debug
en trace
kan gebruik word om te sien hoe die kommunikasie plaasvind.
Enumerasie
Banner Gaping
nc -vn <IP> 21
openssl s_client -connect crossfit.htb:21 -starttls ftp #Get certificate if any
Maak 'n verbinding met FTP deur starttls te gebruik
lftp
lftp :~> set ftp:ssl-force true
lftp :~> set ssl:verify-certificate no
lftp :~> connect 10.10.10.208
lftp 10.10.10.208:~> login
Usage: login <user|URL> [<pass>]
lftp 10.10.10.208:~> login username Password
Ongeautoriseerde enum
Met nmap
sudo nmap -sV -p21 -sC -A 10.10.10.10
Jy kan die opdragte HELP
en FEAT
gebruik om inligting oor die FTP-bediener te verkry:
HELP
214-The following commands are recognized (* =>'s unimplemented):
214-CWD XCWD CDUP XCUP SMNT* QUIT PORT PASV
214-EPRT EPSV ALLO* RNFR RNTO DELE MDTM RMD
214-XRMD MKD XMKD PWD XPWD SIZE SYST HELP
214-NOOP FEAT OPTS AUTH CCC* CONF* ENC* MIC*
214-PBSZ PROT TYPE STRU MODE RETR STOR STOU
214-APPE REST ABOR USER PASS ACCT* REIN* LIST
214-NLST STAT SITE MLSD MLST
214 Direct comments to root@drei.work
FEAT
211-Features:
PROT
CCC
PBSZ
AUTH TLS
MFF modify;UNIX.group;UNIX.mode;
REST STREAM
MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
UTF8
EPRT
EPSV
LANG en-US
MDTM
SSCN
TVFS
MFMT
SIZE
211 End
STAT
#Info about the FTP server (version, configs, status...)
Anonieme aanmelding
anoniem : anoniem
anoniem :
ftp : ftp
ftp <IP>
>anonymous
>anonymous
>ls -a # List all files (even hidden) (yes, they could be hidden)
>binary #Set transmission to binary instead of ascii
>ascii #Set transmission to ascii instead of binary
>bye #exit
Brute force
Hier kan jy 'n mooi lys met verstek ftp-inligting vind: https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt
Geoutomatiseerd
Anon login en bounce FTP kontroles word standaard uitgevoer deur nmap met die -sC opsie of:
nmap --script ftp-* -p 21 <ip>
Blaaier verbinding
Jy kan met 'n blaaier (soos Firefox) na 'n FTP-bediener verbind deur 'n URL soos die volgende te gebruik:
ftp://anonymous:anonymous@10.10.10.98
Merk op dat as 'n webtoepassing data wat deur 'n gebruiker beheer word direk na 'n FTP-bediener stuur, kan jy dubbele URL-kodering %0d%0a
stuur (in dubbele URL-kodering is dit %250d%250a
) bytes en die FTP-bediener arbitrêre aksies laat uitvoer. Een van hierdie moontlike arbitrêre aksies is om inhoud van 'n gebruiker se beheerde bediener af te laai, poortskandering uit te voer of te probeer om met ander teksgebaseerde dienste (soos http) te kommunikeer.
Laai alle lêers vanaf FTP af
wget -m ftp://anonymous:anonymous@10.10.10.98 #Donwload all
wget -m --no-passive ftp://anonymous:anonymous@10.10.10.98 #Download all
Indien jou gebruikersnaam/wagwoord spesiale karakters het, kan die volgende bevel gebruik word:
wget -r --user="USERNAME" --password="PASSWORD" ftp://server.com/
Sommige FTP-opdragte
USER gebruikersnaam
PASS wagwoord
HELP
Die bediener dui aan watter opdragte ondersteun word- **
PORT 127,0,0,1,0,80
**Dit sal die FTP-bedienaar aandui om 'n verbinding met die IP 127.0.0.1 op poort 80 te vestig (jy moet die 5de karakter as "0" plaas en die 6de as die poort in desimaal of gebruik die 5de en 6de om die poort in heksadesimaal uit te druk). - **
EPRT |2|127.0.0.1|80|
**Dit sal die FTP-bedienaar aandui om 'n TCP-verbindig (aangedui deur "2") met die IP 127.0.0.1 op poort 80 te vestig. Hierdie opdrag ondersteun IPv6. LIST
Dit sal die lys van lêers in die huidige gids stuurLIST -R
Lys herhalend (indien toegelaat deur die bediener)APPE /pad/iets.txt
Dit sal die FTP aandui om die ontvangs van data van 'n passiewe verbinding of van 'n PORT/EPRT-verbinding na 'n lêer te stoor. As die lêernaam bestaan, sal dit die data byvoeg.STOR /pad/iets.txt
SoosAPPE
maar dit sal die lêers oorskryfSTOU /pad/iets.txt
SoosAPPE
, maar as dit bestaan, sal dit niks doen nie.RETR /pad/na/lêer
'n Passiewe of 'n poortverbinding moet gevestig word. Dan sal die FTP-bedienaar die aangeduide lêer deur daardie verbinding stuurREST 6
Dit sal die bediener aandui dat volgende keer as dit iets stuur metRETR
dit moet begin in die 6de byte.TYPE i
Stel oordrag na binêrPASV
Dit sal 'n passiewe verbinding oopmaak en die gebruiker aandui waar hy kan koppelPUT /tmp/lêer.txt
Laai die aangeduide lêer na die FTP
FTPBounce-aanval
Sommige FTP-bedieners laat die opdrag PORT toe. Hierdie opdrag kan gebruik word om aan die bediener aan te dui dat jy wil koppel aan 'n ander FTP-bediener op 'n sekere poort. Dan kan jy dit gebruik om te skandeer watter poorte van 'n gasrekenaar oop is deur 'n FTP-bedienaar.
Leer hier hoe om 'n FTP-bedienaar te misbruik om poorte te skandeer.
Jy kan ook hierdie gedrag misbruik om 'n FTP-bedienaar met ander protokolle te laat interaksieer. Jy kan 'n lêer oplaai wat 'n HTTP-aanvraag bevat en die kwesbare FTP-bedienaar dit stuur na 'n willekeurige HTTP-bedienaar (miskien om 'n nuwe administrateurgebruiker by te voeg?) of selfs 'n FTP-aanvraag oplaai en die kwesbare FTP-bedienaar 'n lêer laat aflaai vir 'n ander FTP-bedienaar.
Die teorie is maklik:
- Laai die aanvraag (binne 'n tekslêer) na die kwesbare bediener. Onthou dat as jy wil kommunikeer met 'n ander HTTP- of FTP-bedienaar, moet jy lyne met
0x0d 0x0a
verander - Gebruik
REST X
om te verhoed dat jy die karakters stuur wat jy nie wil stuur nie (miskien om die aanvraag binne die lêer te plaas, moes jy 'n beeldkop aan die begin sit) - Gebruik
PORT
om te koppel aan die willekeurige bediener en diens - Gebruik
RETR
om die gestoorde aanvraag na die bediener te stuur.
Dit is baie waarskynlik dat dit 'n fout soos Socket nie skryfbaar nie sal veroorsaak omdat die verbinding nie genoeg duur om die data met RETR
te stuur. Voorstelle om te probeer om dit te vermy is:
- As jy 'n HTTP-aanvraag stuur, plaas dieselfde aanvraag agter mekaar tot ~0.5MB ten minste. Soos:
{% file src="../../.gitbook/assets/posts.txt" %} posts.txt {% endfile %}
- Probeer om die aanvraag met "rommel" data relatief tot die protokol te vul (as jy met FTP praat, dalk net rommelopdragte of herhaling van die
RETR
-instruksie om die lêer te kry) - Vul net die aanvraag met baie nulkarakters of ander karakters (verdeel op lyne of nie)
Hoe dan ook, hier het jy 'n ou voorbeeld oor hoe om dit te misbruik om 'n FTP-bedienaar 'n lêer van 'n ander FTP-bedienaar af te laai.
Filezilla Bedienaar-kwesbaarheid
FileZilla bind gewoonlik aan 'n plaaslike Administratiewe diens vir die FileZilla-Bedienaar (poort 14147). As jy 'n tonnel vanaf jou rekenaar kan skep om toegang tot hierdie poort te verkry, kan jy daaraan koppel met 'n leë wagwoord en 'n nuwe gebruiker vir die FTP-diens skep.
Konfigurasie lêers
ftpusers
ftp.conf
proftpd.conf
vsftpd.conf
Post-Exploitation
Die verstekkonfigurasie van vsFTPd kan gevind word in /etc/vsftpd.conf
. Hierin kan jy enkele gevaarlike instellings vind:
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_root=/home/username/ftp
- Gids vir anonieme gebruikers.chown_uploads=YES
- Verander eienaarskap van anoniem opgelaai lêerschown_username=username
- Gebruiker wat eienaarskap van anoniem opgelaai lêers krylocal_enable=YES
- Laat plaaslike gebruikers toe om in te tekenno_anon_password=YES
- Moet nie anonieme vir wagwoord vra niewrite_enable=YES
- Laat opdragte toe: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE, en SITE
Shodan
ftp
port:21
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
HackTricks Outomatiese Opdragte
Protocol_Name: FTP #Protocol Abbreviation if there is one.
Port_Number: 21 #Comma separated if there is more than one.
Protocol_Description: File Transfer Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for FTP
Note: |
Anonymous Login
-bi <<< so that your put is done via binary
wget --mirror 'ftp://ftp_user:UTDRSCH53c"$6hys@10.10.10.59'
^^to download all dirs and files
wget --no-passive-ftp --mirror 'ftp://anonymous:anonymous@10.10.10.98'
if PASV transfer is disabled
https://book.hacktricks.xyz/pentesting/pentesting-ftp
Entry_2:
Name: Banner Grab
Description: Grab FTP Banner via telnet
Command: telnet -n {IP} 21
Entry_3:
Name: Cert Grab
Description: Grab FTP Certificate if existing
Command: openssl s_client -connect {IP}:21 -starttls ftp
Entry_4:
Name: nmap ftp
Description: Anon login and bounce FTP checks are performed
Command: nmap --script ftp-* -p 21 {IP}
Entry_5:
Name: Browser Connection
Description: Connect with Browser
Note: ftp://anonymous:anonymous@{IP}
Entry_6:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -t 1 -l {Username} -P {Big_Passwordlist} -vV {IP} ftp
Entry_7:
Name: consolesless mfs enumeration ftp
Description: FTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ftp/anonymous; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/ftp_version; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/bison_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/colorado_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/titanftp_xcrc_traversal; set RHOSTS {IP}; set RPORT 21; run; exit'
Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!
- Werk jy by 'n cybersekuriteitsmaatskappy? Wil jy jou maatskappy geadverteer sien in HackTricks? of wil jy toegang hê tot die nuutste weergawe van die PEASS of HackTricks aflaai in PDF-formaat? Kyk na die INSKRYWINGSPLANNE!
- Ontdek Die PEASS-familie, ons versameling eksklusiewe NFT's
- Kry die amptelike PEASS & HackTricks-uitrusting
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg my op Twitter 🐦@carlospolopm.
- Deel jou haktruuks deur PR's in te dien by die hacktricks-opslag en hacktricks-cloud-opslag.