.. | ||
ftp-bounce-attack.md | ||
ftp-bounce-download-2oftp-file.md | ||
README.md |
21 - FTPのペンテスト
htARTE(HackTricks AWS Red Team Expert) でAWSハッキングをゼロからヒーローまで学ぶ!
- サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝してみたいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを発見しましょう。独占的なNFTsコレクションです。
- 公式PEASS&HackTricksスウェグを手に入れましょう。
- 💬 Discordグループに参加するか、telegramグループに参加するか、Twitterで私をフォローする🐦@carlospolopm。
- ハッキングトリックを共有するために、hacktricksリポジトリ と hacktricks-cloudリポジトリ にPRを提出してください。
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
基本情報
**ファイル転送プロトコル(FTP)は、サーバーとクライアント間でコンピュータネットワークを介してファイルを転送するための標準プロトコルとして機能します。
プレーンテキストプロトコルであり、改行文字 0x0d 0x0a
を使用するため、telnet
またはnc -C
**を使用して接続する必要があることがあります。
デフォルトポート: 21
PORT STATE SERVICE
21/tcp open ftp
接続のアクティブとパッシブ
アクティブFTPでは、FTP クライアントは最初に制御接続をポートNからFTPサーバーのコマンドポート(ポート21)にイニシエートします。その後、クライアントはポートN+1でリッスンし、ポートN+1をFTPサーバーに送信します。FTP サーバーはその後、データ接続をポートMからFTPクライアントのポートN+1にイニシエートします。
ただし、FTPクライアントに外部からの着信データ接続を制御するファイアウォールが設定されている場合、アクティブFTPは問題になる可能性があります。そのための実現可能な解決策はパッシブFTPです。
パッシブFTPでは、クライアントは制御接続をポートNからFTPサーバーのポート21にイニシエートします。その後、クライアントはpassvコマンドを発行します。サーバーはその後、クライアントに自身のポート番号Mの1つを送信します。そして、クライアントはデータ接続をポートPからFTPサーバーのポートMにイニシエートします。
ソース: https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/
接続のデバッグ
FTPコマンド**debug
とtrace
**を使用して、通信がどのように行われているかを確認できます。
列挙
バナー取得
nc -vn <IP> 21
openssl s_client -connect crossfit.htb:21 -starttls ftp #Get certificate if any
FTPをstarttlsを使用して接続する
lftp
lftp :~> set ftp:ssl-force true
lftp :~> set ssl:verify-certificate no
lftp :~> connect 10.10.10.208
lftp 10.10.10.208:~> login
Usage: login <user|URL> [<pass>]
lftp 10.10.10.208:~> login username Password
認証なし列挙
nmapを使用して
sudo nmap -sV -p21 -sC -A 10.10.10.10
次のコマンドを使用してFTPサーバーの情報を取得できます:HELP
およびFEAT
HELP
214-The following commands are recognized (* =>'s unimplemented):
214-CWD XCWD CDUP XCUP SMNT* QUIT PORT PASV
214-EPRT EPSV ALLO* RNFR RNTO DELE MDTM RMD
214-XRMD MKD XMKD PWD XPWD SIZE SYST HELP
214-NOOP FEAT OPTS AUTH CCC* CONF* ENC* MIC*
214-PBSZ PROT TYPE STRU MODE RETR STOR STOU
214-APPE REST ABOR USER PASS ACCT* REIN* LIST
214-NLST STAT SITE MLSD MLST
214 Direct comments to root@drei.work
FEAT
211-Features:
PROT
CCC
PBSZ
AUTH TLS
MFF modify;UNIX.group;UNIX.mode;
REST STREAM
MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
UTF8
EPRT
EPSV
LANG en-US
MDTM
SSCN
TVFS
MFMT
SIZE
211 End
STAT
#Info about the FTP server (version, configs, status...)
匿名ログイン
anonymous : anonymous
anonymous :
ftp : ftp
ftp <IP>
>anonymous
>anonymous
>ls -a # List all files (even hidden) (yes, they could be hidden)
>binary #Set transmission to binary instead of ascii
>ascii #Set transmission to ascii instead of binary
>bye #exit
Brute force
ここでは、デフォルトのFTP資格情報の素敵なリストを見つけることができます: https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt
Automated
匿名ログインとバウンスFTPチェックは、nmapの**-sC**オプションまたはデフォルトで実行されます。
nmap --script ftp-* -p 21 <ip>
ブラウザ接続
FTPサーバーには、Firefoxなどのブラウザを使用して次のようなURLを使用して接続できます:
ftp://anonymous:anonymous@10.10.10.98
注意してください。もしwebアプリケーションがユーザーによって制御されたデータを直接FTPサーバーに送信している場合、ダブルURLエンコード%0d%0a
(ダブルURLエンコードでは%250d%250a
となります)バイトを送信し、FTPサーバーに任意のアクションを実行させることができます。この可能な任意のアクションの1つは、ユーザーが制御するサーバーからコンテンツをダウンロードしたり、ポートスキャンを実行したり、他のプレーンテキストベースのサービス(例:http)と通信を試みることです。
FTPからすべてのファイルをダウンロード
wget -m ftp://anonymous:anonymous@10.10.10.98 #Donwload all
wget -m --no-passive ftp://anonymous:anonymous@10.10.10.98 #Download all
特殊文字を含むユーザー/パスワードを使用している場合、次のコマンド を使用できます:
wget -r --user="USERNAME" --password="PASSWORD" ftp://server.com/
いくつかのFTPコマンド
USER ユーザー名
PASS パスワード
HELP
サーバーはサポートされているコマンドを示す- **
PORT 127,0,0,1,0,80
**これによりFTPサーバーがIP 127.0.0.1のポート80に接続を確立するよう指示されます(第5文字を "0" とし、第6文字を10進数でポートを表すか、第5文字と第6文字を使用して16進数でポートを表す)。 - **
EPRT |2|127.0.0.1|80|
**これによりFTPサーバーがIP 127.0.0.1のポート80にTCP接続("2"で示される)を確立するよう指示されます。このコマンドはIPv6をサポートしています。 LIST
これにより現在のフォルダ内のファイルリストが送信されますLIST -R
再帰的にリストします(サーバーが許可する場合)APPE /path/something.txt
これによりFTPがパッシブ接続またはPORT/EPRT接続から受信したデータをファイルに保存するよう指示されます。ファイル名が存在する場合、データが追加されます。STOR /path/something.txt
APPE
と同様ですが、ファイルを上書きしますSTOU /path/something.txt
APPE
と同様ですが、存在する場合は何もしません。RETR /path/to/file
パッシブまたはポート接続を確立する必要があります。その後、FTPサーバーはその接続を介して指定されたファイルを送信しますREST 6
これにより、次回RETR
を使用して何かを送信する際に、サーバーに6番目のバイトから開始するように指示されます。TYPE i
転送をバイナリに設定しますPASV
これによりパッシブ接続が開かれ、ユーザーが接続できる場所が示されますPUT /tmp/file.txt
指定されたファイルをFTPにアップロードします
FTPBounce攻撃
一部のFTPサーバーはPORT
コマンドを許可します。このコマンドを使用して、FTPサーバーにホストのどのポートが開いているかをスキャンすることができます。
ここでFTPサーバーを悪用してポートをスキャンする方法を学びます。
また、この動作を悪用してFTPサーバーを他のプロトコルとやり取りさせることもできます。HTTPリクエストを含むファイルをアップロードし、脆弱なFTPサーバーにそれを任意のHTTPサーバーに送信させるか(新しい管理者ユーザーを追加するかもしれません?)、FTPリクエストをアップロードし、脆弱なFTPサーバーに異なるFTPサーバーからファイルをダウンロードさせることができます。
理論は簡単です:
- (テキストファイル内に)リクエストを脆弱なサーバーにアップロードします。 別のHTTPまたはFTPサーバーと通信する場合は、
0x0d 0x0a
で行を変更する必要があります - 送信したくない文字を送信しないようにするために
REST X
を使用します(おそらくリクエストをファイル内にアップロードするために、最初にいくつかの画像ヘッダーを配置する必要があるかもしれません) - 任意のサーバーとサービスに接続するために
PORT
を使用します - 保存されたリクエストをサーバーに送信するために
RETR
を使用します
これはおそらく**「Socket not writable」のようなエラーを発生させる可能性が高いです。RETR
でデータを送信するのに十分な接続がない**ためです。これを回避するための提案は次のとおりです:
- HTTPリクエストを送信している場合は、少なくとも~0.5MBまで同じリクエストを繰り返します。次のように:
{% file src="../../.gitbook/assets/posts (1).txt" %} posts.txt {% endfile %}
- プロトコルに関連する「ジャンク」データでリクエストを埋めてみてください(FTPに話しかける場合は、ジャンクコマンドを使用するか、ファイルを取得するために
RETR
命令を繰り返します) - リクエストを多くのヌル文字や他の文字で埋めてみてください(行ごとに分割されているかどうか)
とにかく、ここにはFTPサーバーが異なるFTPサーバーからファイルをダウンロードするようにするためにこれを悪用する方法についての古い例があります。
Filezillaサーバーの脆弱性
FileZillaは通常、FileZilla-Server(ポート14147)の管理サービスをローカルにバインドします。あなたのマシンからこのポートにアクセスするためのトンネルを作成できれば、空のパスワードで接続し、FTPサービスのために新しいユーザーを作成できます。
設定ファイル
ftpusers
ftp.conf
proftpd.conf
vsftpd.conf
ポストエクスプロイテーション
vsFTPdのデフォルト構成は /etc/vsftpd.conf
にあります。ここでは、いくつかの危険な設定が見つかります:
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_root=/home/username/ftp
- 匿名ユーザーのディレクトリchown_uploads=YES
- 匿名でアップロードされたファイルの所有権を変更chown_username=username
- 匿名でアップロードされたファイルの所有権を与えられるユーザーlocal_enable=YES
- ローカルユーザーのログインを有効にするno_anon_password=YES
- 匿名からのパスワードを要求しないwrite_enable=YES
- コマンドを許可: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE, および SITE
Shodan
ftp
port:21
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
HackTricks Automatic Commands
Protocol_Name: FTP #Protocol Abbreviation if there is one.
Port_Number: 21 #Comma separated if there is more than one.
Protocol_Description: File Transfer Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for FTP
Note: |
Anonymous Login
-bi <<< so that your put is done via binary
wget --mirror 'ftp://ftp_user:UTDRSCH53c"$6hys@10.10.10.59'
^^to download all dirs and files
wget --no-passive-ftp --mirror 'ftp://anonymous:anonymous@10.10.10.98'
if PASV transfer is disabled
https://book.hacktricks.xyz/pentesting/pentesting-ftp
Entry_2:
Name: Banner Grab
Description: Grab FTP Banner via telnet
Command: telnet -n {IP} 21
Entry_3:
Name: Cert Grab
Description: Grab FTP Certificate if existing
Command: openssl s_client -connect {IP}:21 -starttls ftp
Entry_4:
Name: nmap ftp
Description: Anon login and bounce FTP checks are performed
Command: nmap --script ftp-* -p 21 {IP}
Entry_5:
Name: Browser Connection
Description: Connect with Browser
Note: ftp://anonymous:anonymous@{IP}
Entry_6:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -t 1 -l {Username} -P {Big_Passwordlist} -vV {IP} ftp
Entry_7:
Name: consolesless mfs enumeration ftp
Description: FTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ftp/anonymous; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/ftp_version; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/bison_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/colorado_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/titanftp_xcrc_traversal; set RHOSTS {IP}; set RPORT 21; run; exit'
ゼロからヒーローまでAWSハッキングを学ぶ htARTE(HackTricks AWS Red Team Expert)!
- サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝してみたいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを発見し、独占的なNFTsコレクションをご覧ください
- 公式PEASS&HackTricksスウェグを手に入れましょう
- 💬 Discordグループに参加するか、Telegramグループに参加するか、またはTwitterで私をフォローしてください 🐦@carlospolopm.**
- ハッキングトリックを共有するために、PRを hacktricksリポジトリ と hacktricks-cloudリポジトリ に提出してください。