18 KiB
21 - Pentesting FTP
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Основна інформація
Протокол передачі файлів (FTP) слугує стандартним протоколом для передачі файлів через комп'ютерну мережу між сервером і клієнтом.
Це протокол у відкритому тексті, який використовує символ нового рядка 0x0d 0x0a
, тому іноді вам потрібно підключитися за допомогою telnet
або nc -C
.
Порт за замовчуванням: 21
PORT STATE SERVICE
21/tcp open ftp
Connections Active & Passive
В Active FTP FTP клієнт спочатку ініціює контрольне з'єднання з порту N до командного порту FTP сервера – порту 21. Потім клієнт слухає порт N+1 і надсилає порт N+1 на FTP сервер. FTP сервер потім ініціює з'єднання для передачі даних, з його порту M до порту N+1 FTP клієнта.
Але, якщо у FTP клієнта налаштований брандмауер, який контролює вхідні з'єднання для передачі даних ззовні, тоді активний FTP може бути проблемою. І, доцільним рішенням для цього є Passive FTP.
В Passive FTP клієнт ініціює контрольне з'єднання з його порту N до порту 21 FTP сервера. Після цього клієнт видає команду passv. Сервер потім надсилає клієнту один з його номерів порту M. І клієнт ініціює з'єднання для передачі даних з його порту P до порту M FTP сервера.
Source: https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/
Connection debugging
Команди FTP debug
та trace
можуть бути використані для того, щоб побачити як відбувається комунікація.
Enumeration
Banner Grabbing
nc -vn <IP> 21
openssl s_client -connect crossfit.htb:21 -starttls ftp #Get certificate if any
Підключення до FTP з використанням starttls
lftp
lftp :~> set ftp:ssl-force true
lftp :~> set ssl:verify-certificate no
lftp :~> connect 10.10.10.208
lftp 10.10.10.208:~> login
Usage: login <user|URL> [<pass>]
lftp 10.10.10.208:~> login username Password
Unauth enum
З nmap
sudo nmap -sV -p21 -sC -A 10.10.10.10
Ви можете використовувати команди HELP
та FEAT
, щоб отримати деяку інформацію про FTP-сервер:
HELP
214-The following commands are recognized (* =>'s unimplemented):
214-CWD XCWD CDUP XCUP SMNT* QUIT PORT PASV
214-EPRT EPSV ALLO* RNFR RNTO DELE MDTM RMD
214-XRMD MKD XMKD PWD XPWD SIZE SYST HELP
214-NOOP FEAT OPTS AUTH CCC* CONF* ENC* MIC*
214-PBSZ PROT TYPE STRU MODE RETR STOR STOU
214-APPE REST ABOR USER PASS ACCT* REIN* LIST
214-NLST STAT SITE MLSD MLST
214 Direct comments to root@drei.work
FEAT
211-Features:
PROT
CCC
PBSZ
AUTH TLS
MFF modify;UNIX.group;UNIX.mode;
REST STREAM
MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
UTF8
EPRT
EPSV
LANG en-US
MDTM
SSCN
TVFS
MFMT
SIZE
211 End
STAT
#Info about the FTP server (version, configs, status...)
Анонімний вхід
anonymous : anonymous
anonymous :
ftp : ftp
ftp <IP>
>anonymous
>anonymous
>ls -a # List all files (even hidden) (yes, they could be hidden)
>binary #Set transmission to binary instead of ascii
>ascii #Set transmission to ascii instead of binary
>bye #exit
Brute force
Тут ви можете знайти гарний список з типовими ftp обліковими даними: https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt
Automated
Анонімний вхід та перевірки bounce FTP виконуються за замовчуванням nmap з опцією -sC або:
nmap --script ftp-* -p 21 <ip>
Browser connection
Ви можете підключитися до FTP-сервера, використовуючи браузер (наприклад, Firefox), за допомогою URL, як-от:
ftp://anonymous:anonymous@10.10.10.98
Зверніть увагу, що якщо веб-додаток надсилає дані, контрольовані користувачем, безпосередньо на FTP-сервер, ви можете надіслати подвоєне URL-кодування %0d%0a
(в подвоєному URL-кодуванні це %250d%250a
) байти і змусити FTP-сервер виконувати довільні дії. Однією з цих можливих довільних дій є завантаження вмісту з сервера, контрольованого користувачем, виконання сканування портів або спроба зв'язатися з іншими сервісами на основі простого тексту (наприклад, http).
Завантажити всі файли з FTP
wget -m ftp://anonymous:anonymous@10.10.10.98 #Donwload all
wget -m --no-passive ftp://anonymous:anonymous@10.10.10.98 #Download all
Якщо ваш логін/пароль містить спеціальні символи, можна використовувати наступну команду:
wget -r --user="USERNAME" --password="PASSWORD" ftp://server.com/
Деякі команди FTP
USER username
PASS password
HELP
Сервер вказує, які команди підтримуються- **
PORT 127,0,0,1,0,80
**Це вказує FTP серверу встановити з'єднання з IP 127.0.0.1 на порту 80 (вам потрібно вказати 5-й символ як "0", а 6-й як порт у десятковій системі або використати 5-й і 6-й для вираження порту в шістнадцятковій системі). - **
EPRT |2|127.0.0.1|80|
**Це вказує FTP серверу встановити TCP з'єднання (вказане "2") з IP 127.0.0.1 на порту 80. Ця команда підтримує IPv6. LIST
Це надішле список файлів у поточній папціLIST -R
Список рекурсивно (якщо дозволено сервером)APPE /path/something.txt
Це вказує FTP зберегти дані, отримані з пасивного з'єднання або з PORT/EPRT з'єднання, у файл. Якщо ім'я файлу існує, дані будуть додані.STOR /path/something.txt
ЯкAPPE
, але він перезапише файлиSTOU /path/something.txt
ЯкAPPE
, але якщо існує, нічого не зробить.RETR /path/to/file
Має бути встановлено пасивне або портове з'єднання. Тоді FTP сервер надішле вказаний файл через це з'єднанняREST 6
Це вказує серверу, що наступного разу, коли він надішле щось за допомогоюRETR
, він повинен почати з 6-го байта.TYPE i
Встановити передачу в двійковому форматіPASV
Це відкриє пасивне з'єднання і вкаже користувачу, куди він може підключитисяPUT /tmp/file.txt
Завантажити вказаний файл на FTP
Атака FTPBounce
Деякі FTP сервери дозволяють команду PORT. Цю команду можна використовувати, щоб вказати серверу, що ви хочете підключитися до іншого FTP сервера на певному порту. Тоді ви можете використовувати це для сканування, які порти хоста відкриті через FTP сервер.
Дізнайтеся тут, як зловживати FTP сервером для сканування портів.
Ви також можете зловживати цією поведінкою, щоб змусити FTP сервер взаємодіяти з іншими протоколами. Ви могли б завантажити файл, що містить HTTP запит і змусити вразливий FTP сервер надіслати його на довільний HTTP сервер (можливо, щоб додати нового адміністратора?) або навіть завантажити FTP запит і змусити вразливий FTP сервер завантажити файл з іншого FTP сервера.
Теорія проста:
- Завантажте запит (всередині текстового файлу) на вразливий сервер. Пам'ятайте, що якщо ви хочете спілкуватися з іншим HTTP або FTP сервером, вам потрібно змінити рядки на
0x0d 0x0a
- Використовуйте
REST X
, щоб уникнути надсилання символів, які ви не хочете надсилати (можливо, щоб завантажити запит всередині файлу, вам потрібно було вставити заголовок зображення на початку) - Використовуйте
PORT
, щоб підключитися до довільного сервера та служби - Використовуйте
RETR
, щоб надіслати збережений запит на сервер.
Імовірно, це викличе помилку, як Socket not writable тому що з'єднання не триває достатньо довго, щоб надіслати дані за допомогою RETR
. Пропозиції, щоб спробувати уникнути цього:
- Якщо ви надсилаєте HTTP запит, поставте той же запит один за одним до ~0.5MB принаймні. Ось так:
{% file src="../../.gitbook/assets/posts.txt" %} posts.txt {% endfile %}
- Спробуйте заповнити запит "сміттєвими" даними, що стосуються протоколу (говорячи про FTP, можливо, просто сміттєві команди або повторюючи інструкцію
RETR
, щоб отримати файл) - Просто заповніть запит великою кількістю нульових символів або інших (розділених на рядки або ні)
У будь-якому випадку, ось вам старий приклад про те, як зловживати цим, щоб змусити FTP сервер завантажити файл з іншого FTP сервера.
Уразливість сервера Filezilla
FileZilla зазвичай прив'язується до локального Адміністративного сервісу для FileZilla-Server (порт 14147). Якщо ви можете створити тунель з вашого комп'ютера для доступу до цього порту, ви можете підключитися до нього за допомогою порожнього пароля і створити нового користувача для FTP служби.
Конфігураційні файли
ftpusers
ftp.conf
proftpd.conf
vsftpd.conf
Пост-експлуатація
За замовчуванням конфігурація vsFTPd може бути знайдена в /etc/vsftpd.conf
. Тут ви можете знайти деякі небезпечні налаштування:
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_root=/home/username/ftp
- Директорія для анонімних.chown_uploads=YES
- Змінити власність анонімно завантажених файлівchown_username=username
- Користувач, якому надається власність анонімно завантажених файлівlocal_enable=YES
- Дозволити локальним користувачам входити в системуno_anon_password=YES
- Не запитувати анонімного користувача про парольwrite_enable=YES
- Дозволити команди: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE, і SITE
Shodan
ftp
port:21
HackTricks Автоматичні команди
Protocol_Name: FTP #Protocol Abbreviation if there is one.
Port_Number: 21 #Comma separated if there is more than one.
Protocol_Description: File Transfer Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for FTP
Note: |
Anonymous Login
-bi <<< so that your put is done via binary
wget --mirror 'ftp://ftp_user:UTDRSCH53c"$6hys@10.10.10.59'
^^to download all dirs and files
wget --no-passive-ftp --mirror 'ftp://anonymous:anonymous@10.10.10.98'
if PASV transfer is disabled
https://book.hacktricks.xyz/pentesting/pentesting-ftp
Entry_2:
Name: Banner Grab
Description: Grab FTP Banner via telnet
Command: telnet -n {IP} 21
Entry_3:
Name: Cert Grab
Description: Grab FTP Certificate if existing
Command: openssl s_client -connect {IP}:21 -starttls ftp
Entry_4:
Name: nmap ftp
Description: Anon login and bounce FTP checks are performed
Command: nmap --script ftp-* -p 21 {IP}
Entry_5:
Name: Browser Connection
Description: Connect with Browser
Note: ftp://anonymous:anonymous@{IP}
Entry_6:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -t 1 -l {Username} -P {Big_Passwordlist} -vV {IP} ftp
Entry_7:
Name: consolesless mfs enumeration ftp
Description: FTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ftp/anonymous; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/ftp_version; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/bison_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/colorado_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/titanftp_xcrc_traversal; set RHOSTS {IP}; set RPORT 21; run; exit'
{% hint style="success" %}
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.