hacktricks/network-services-pentesting/pentesting-ftp/README.md

# 21 - Pentesting FTP

<details>

<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

* Werk jy in 'n **cybersecurity-maatskappy**? Wil jy jou **maatskappy adverteer in HackTricks**? Of wil jy toegang hê tot die **nuutste weergawe van die PEASS of laai HackTricks af in PDF-formaat**? Kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Sluit aan by die** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** my op **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou hacktruuks deur PR's in te dien by die [hacktricks repo](https://github.com/carlospolop/hacktricks) en [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.

</details>

<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

Vind kwesbaarhede wat die belangrikste is sodat jy hulle vinniger kan regmaak. Intruder volg jou aanvalsoppervlak, voer proaktiewe dreigingsskanderings uit, vind probleme regoor jou hele tegnologie-stapel, van API's tot webtoepassings en wolkstelsels. [**Probeer dit vandag nog gratis**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks).

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

***

## Basiese Inligting

Die **File Transfer Protocol (FTP)** dien as 'n standaardprotokol vir die oordrag van lêers oor 'n rekenaarstelsel tussen 'n bediener en 'n kliënt.\
Dit is 'n **plain-text**-protokol wat gebruik maak van die **new line character `0x0d 0x0a`**, so soms moet jy **verbind met behulp van `telnet`** of **`nc -C`**.

**Verstekpoort:** 21
```
PORT   STATE SERVICE
21/tcp open  ftp
```
### Verbindings Aktief & Passief

In **Aktiewe FTP** inisieer die FTP **kliënt** eers die beheer **verbindings** vanaf sy poort N na die FTP-bediener se bevelspoort - poort 21. Die **kliënt** luister dan na poort **N+1** en stuur die poort N+1 na die FTP-bediener. Die FTP **Bediener** inisieer dan die data **verbindings**, vanaf **sy poort M na die poort N+1** van die FTP-kliënt.

Maar, as die FTP-kliënt 'n vuurwal opset wat die inkomende data-verbindings van buite beheer, kan aktiewe FTP 'n probleem wees. En 'n uitvoerbare oplossing hiervoor is Passiewe FTP.

In **Passiewe FTP** inisieer die kliënt die beheer verbindings vanaf sy poort N na die poort 21 van die FTP-bediener. Hierna gee die kliënt 'n **passv bevel** uit. Die bediener stuur dan een van sy poortnommers M na die kliënt. En die **kliënt** inisieer die data **verbindings** vanaf **sy poort P na poort M** van die FTP-bediener.

Bron: [https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/](https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/)

### Verbindingsfoutopsporing

Die **FTP** opdragte **`debug`** en **`trace`** kan gebruik word om te sien **hoe die kommunikasie plaasvind**.

## Enumerasie

### Banner Gaping
```bash
nc -vn <IP> 21
openssl s_client -connect crossfit.htb:21 -starttls ftp #Get certificate if any
```
### Koppel aan FTP met behulp van starttls

Om verbinding te maken met een FTP-server met behulp van starttls, moet je de volgende stappen volgen:

1. Gebruik een FTP-client zoals FileZilla of de commandoregelclient `ftp` om verbinding te maken met de FTP-server.
2. Verifieer of de FTP-server starttls ondersteunt. Dit kan worden gecontroleerd door de server te pingen of door de documentatie van de server te raadplegen.
3. Als de server starttls ondersteunt, moet je de FTP-client configureren om starttls te gebruiken. Dit kan meestal worden gedaan via de instellingen van de FTP-client.
4. Zodra starttls is ingeschakeld, kun je verbinding maken met de FTP-server zoals je normaal zou doen. De starttls-functie zorgt ervoor dat de communicatie tussen de client en de server wordt versleuteld.

Het gebruik van starttls bij het verbinden met een FTP-server zorgt ervoor dat je gegevens veilig worden verzonden en beschermd zijn tegen afluisteren of onderschepping door kwaadwillende partijen.
```
lftp
lftp :~> set ftp:ssl-force true
lftp :~> set ssl:verify-certificate no
lftp :~> connect 10.10.10.208
lftp 10.10.10.208:~> login
Usage: login <user|URL> [<pass>]
lftp 10.10.10.208:~> login username Password
```
### Ongeoorloofde enumerasie

Met **nmap**
```bash
sudo nmap -sV -p21 -sC -A 10.10.10.10
```
Jy kan die opdragte `HELP` en `FEAT` gebruik om inligting oor die FTP-bediener te verkry:
```
HELP
214-The following commands are recognized (* =>'s unimplemented):
214-CWD     XCWD    CDUP    XCUP    SMNT*   QUIT    PORT    PASV
214-EPRT    EPSV    ALLO*   RNFR    RNTO    DELE    MDTM    RMD
214-XRMD    MKD     XMKD    PWD     XPWD    SIZE    SYST    HELP
214-NOOP    FEAT    OPTS    AUTH    CCC*    CONF*   ENC*    MIC*
214-PBSZ    PROT    TYPE    STRU    MODE    RETR    STOR    STOU
214-APPE    REST    ABOR    USER    PASS    ACCT*   REIN*   LIST
214-NLST    STAT    SITE    MLSD    MLST
214 Direct comments to root@drei.work

FEAT
211-Features:
PROT
CCC
PBSZ
AUTH TLS
MFF modify;UNIX.group;UNIX.mode;
REST STREAM
MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
UTF8
EPRT
EPSV
LANG en-US
MDTM
SSCN
TVFS
MFMT
SIZE
211 End

STAT
#Info about the FTP server (version, configs, status...)
```
### Anonieme aanmelding

_anoniem : anoniem_\
_anoniem :_\
_ftp : ftp_
```bash
ftp <IP>
>anonymous
>anonymous
>ls -a # List all files (even hidden) (yes, they could be hidden)
>binary #Set transmission to binary instead of ascii
>ascii #Set transmission to ascii instead of binary
>bye #exit
```
### [Brute force](../../generic-methodologies-and-resources/brute-force.md#ftp)

Hier kan jy 'n mooi lys vind met verstek ftp-geloofsbriewe: [https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt)

### Outomaties

Anon login en bounce FTP kontroles word standaard uitgevoer deur nmap met die **-sC** opsie of:
```bash
nmap --script ftp-* -p 21 <ip>
```
## Blaaier verbinding

Jy kan 'n FTP-bediener verbind met 'n blaaier (soos Firefox) deur gebruik te maak van 'n URL soos:
```bash
ftp://anonymous:anonymous@10.10.10.98
```
Merk op dat as 'n **webtoepassing** data wat deur 'n gebruiker beheer word **direk na 'n FTP-bediener** gestuur word, kan jy dubbele URL-kodering `%0d%0a` (in dubbele URL-kodering is dit `%250d%250a`) byte stuur en die **FTP-bediener arbitrêre aksies laat uitvoer**. Een van hierdie moontlike arbitrêre aksies is om inhoud van 'n gebruiker se beheerde bediener af te laai, poortskandering uit te voer of te probeer kommunikeer met ander dienste wat op platte teks gebaseer is (soos http).

## Laai alle lêers vanaf FTP af
```bash
wget -m ftp://anonymous:anonymous@10.10.10.98 #Donwload all
wget -m --no-passive ftp://anonymous:anonymous@10.10.10.98 #Download all
```
As jou gebruikersnaam/wagwoord spesiale karakters bevat, kan die [volgende opdrag](https://stackoverflow.com/a/113900/13647948) gebruik word:
```bash
wget -r --user="USERNAME" --password="PASSWORD" ftp://server.com/
```
## Sommige FTP-opdragte

* **`USER gebruikersnaam`**
* **`PASS wagwoord`**
* **`HELP`** Die bediener dui aan watter opdragte ondersteun word
* **`PORT 127,0,0,1,0,80`** Dit sal die FTP-bediener aandui om 'n verbinding met die IP 127.0.0.1 op poort 80 te vestig (_jy moet die 5de karakter as "0" plaas en die 6de as die poort in desimaal of gebruik die 5de en 6de om die poort in heksadesimaal uit te druk_).
* **`EPRT |2|127.0.0.1|80|`** Dit sal die FTP-bediener aandui om 'n TCP-verbinding (_aangedui deur "2"_) met die IP 127.0.0.1 op poort 80 te vestig. Hierdie opdrag **ondersteun IPv6**.
* **`LIST`** Dit sal die lys van lêers in die huidige gids stuur
* **`LIST -R`** Lys rekursief (indien toegelaat deur die bediener)
* **`APPE /pad/iets.txt`** Dit sal die FTP aandui om die data wat ontvang is van 'n **passiewe** verbinding of van 'n **PORT/EPRT** verbinding na 'n lêer te stoor. As die lêernaam bestaan, sal dit die data byvoeg.
* **`STOR /pad/iets.txt`** Soos `APPE` maar dit sal die lêers oorskryf
* **`STOU /pad/iets.txt`** Soos `APPE`, maar as dit bestaan, sal dit niks doen nie.
* **`RETR /pad/na/lêer`** 'n Passiewe of 'n poortverbinding moet tot stand gebring word. Dan sal die FTP-bediener die aangeduide lêer deur daardie verbinding stuur
* **`REST 6`** Dit sal die bediener aandui dat volgende keer as dit iets stuur met behulp van `RETR`, moet dit begin by die 6de byte.
* **`TYPE i`** Stel oordrag na binêre in
* **`PASV`** Dit sal 'n passiewe verbinding oopmaak en die gebruiker aandui waar hy kan koppel
* **`PUT /tmp/lêer.txt`** Laai die aangeduide lêer na die FTP op

![](<../../.gitbook/assets/image (227).png>)

## FTPBounce-aanval

Sommige FTP-bedieners laat die opdrag PORT toe. Hierdie opdrag kan gebruik word om aan die bediener aan te dui dat jy wil koppel aan 'n ander FTP-bediener by 'n sekere poort. Dan kan jy dit gebruik om te skandeer watter poorte van 'n gasheer oop is deur 'n FTP-bediener.

[**Leer hier hoe om 'n FTP-bediener te misbruik om poorte te skandeer.**](ftp-bounce-attack.md)

Jy kan ook hierdie gedrag misbruik om 'n FTP-bediener te laat interaksie met ander protokolle. Jy kan **'n lêer oplaai wat 'n HTTP-versoek bevat** en die kwesbare FTP-bediener **stuur dit na 'n willekeurige HTTP-bediener** (_miskien om 'n nuwe administrateurgebruiker by te voeg?_) of selfs 'n FTP-versoek oplaai en die kwesbare FTP-bediener 'n lêer laat aflaai vir 'n ander FTP-bediener.\
Die teorie is eenvoudig:

1. **Laai die versoek (binne 'n tekslêer) na die kwesbare bediener op.** Onthou dat as jy met 'n ander HTTP- of FTP-bediener wil praat, jy lyne met `0x0d 0x0a` moet verander
2. **Gebruik `REST X` om te voorkom dat jy die karakters stuur wat jy nie wil stuur nie** (miskien om die versoek binne die lêer te plaas, moes jy 'n beeldkop by die begin sit)
3. **Gebruik `PORT` om aan te sluit by die willekeurige bediener en diens**
4. **Gebruik `RETR` om die gestoorde versoek na die bediener te stuur.**

Dit is baie waarskynlik dat dit **'n fout sal veroorsaak soos** _**Socket not writable**_ **omdat die verbinding nie lank genoeg duur om die data met `RETR` te stuur nie**. Voorstelle om te probeer om dit te voorkom, is:

* As jy 'n HTTP-versoek stuur, **plaas dieselfde versoek agter mekaar** tot **\~0.5MB** ten minste. Soos hier:

{% file src="../../.gitbook/assets/posts (1).txt" %}
posts.txt
{% endfile %}

* Probeer om **die versoek met "rommel" data te vul wat verband hou met die protokol** (as jy met FTP praat, dalk net rommelopdragte of die `RETR`-instruksie herhaal om die lêer te kry)
* Vul die versoek net met baie nulkarakters of ander karakters (verdeel op lyne of nie)

Hoe dan ook, hier het jy 'n [ou voorbeeld oor hoe om dit te misbruik om 'n FTP-bediener 'n lêer van 'n ander FTP-bediener te laat aflaai.](ftp-bounce-download-2oftp-file.md)

## Filezilla Server-kwesbaarheid

**FileZilla** bind gewoonlik aan 'n **plaaslike** Administratiewe diens vir die **FileZilla-Bediener** (poort 14147). As jy 'n **tonnel** van **jou masjien** kan skep om toegang tot hierdie poort te verkry, kan jy **daaraan koppel** deur 'n **leë wagwoord** te gebruik en 'n **nuwe gebruiker** vir die FTP-diens te skep.

## Konfigurasie-lêers
```
ftpusers
ftp.conf
proftpd.conf
vsftpd.conf
```
### Post-Exploitasie

Die verstekkonfigurasie van vsFTPd kan gevind word in `/etc/vsftpd.conf`. Hierin kan jy 'n paar gevaarlike instellings vind:

* `anonymous_enable=YES`
* `anon_upload_enable=YES`
* `anon_mkdir_write_enable=YES`
* `anon_root=/home/username/ftp` - Gids vir anonieme gebruikers.
* `chown_uploads=YES` - Verander eienaarskap van anoniem opgelaai lêers
* `chown_username=username` - Gebruiker wat eienaarskap van anoniem opgelaai lêers kry
* `local_enable=YES` - Stel plaaslike gebruikers in staat om aan te meld
* `no_anon_password=YES` - Moenie anoniem vir wagwoord vra nie
* `write_enable=YES` - Staaf opdragte toe: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE, en SITE

### Shodan

* `ftp`
* `port:21`

<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

Vind kwesbaarhede wat die belangrikste is sodat jy hulle vinniger kan regmaak. Intruder volg jou aanvalsoppervlak, voer proaktiewe dreigingsskanderings uit, vind probleme regoor jou hele tegnologie-stapel, van API's tot webtoepassings en wolkstelsels. [**Probeer dit gratis**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) vandag.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

***
```
Protocol_Name: FTP    #Protocol Abbreviation if there is one.
Port_Number:  21     #Comma separated if there is more than one.
Protocol_Description: File Transfer Protocol          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for FTP
Note: |
Anonymous Login
-bi     <<< so that your put is done via binary

wget --mirror 'ftp://ftp_user:UTDRSCH53c"$6hys@10.10.10.59'
^^to download all dirs and files

wget --no-passive-ftp --mirror 'ftp://anonymous:anonymous@10.10.10.98'
if PASV transfer is disabled

https://book.hacktricks.xyz/pentesting/pentesting-ftp

Entry_2:
Name: Banner Grab
Description: Grab FTP Banner via telnet
Command: telnet -n {IP} 21

Entry_3:
Name: Cert Grab
Description: Grab FTP Certificate if existing
Command: openssl s_client -connect {IP}:21 -starttls ftp

Entry_4:
Name: nmap ftp
Description: Anon login and bounce FTP checks are performed
Command: nmap --script ftp-* -p 21 {IP}

Entry_5:
Name: Browser Connection
Description: Connect with Browser
Note: ftp://anonymous:anonymous@{IP}

Entry_6:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -t 1 -l {Username} -P {Big_Passwordlist} -vV {IP} ftp

Entry_7:
Name: consolesless mfs enumeration ftp
Description: FTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ftp/anonymous; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/ftp_version; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/bison_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/colorado_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' &&  msfconsole -q -x 'use auxiliary/scanner/ftp/titanftp_xcrc_traversal; set RHOSTS {IP}; set RPORT 21; run; exit'
```
<details>

<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

* Werk jy in 'n **cybersecurity-maatskappy**? Wil jy jou **maatskappy geadverteer sien in HackTricks**? Of wil jy toegang hê tot die **nuutste weergawe van die PEASS of laai HackTricks in PDF af**? Kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Sluit aan by die** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** my op **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou hacking-truuks deur PR's in te dien by die [hacktricks repo](https://github.com/carlospolop/hacktricks) en [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.

</details>