21 - Pentesting FTP

Reading time: 15 minutes

基本情報

ファイル転送プロトコル (FTP) は、サーバーとクライアント間でコンピュータネットワークを介してファイルを転送するための標準プロトコルです。
これはプレーンテキストプロトコルであり、新しい行文字 0x0d 0x0a を使用するため、時には**telnetまたはnc -Cを使用して接続する必要があります**。

デフォルトポート: 21

PORT   STATE SERVICE
21/tcp open  ftp

接続のアクティブとパッシブ

アクティブFTPでは、FTP クライアントが最初に制御接続をポートNからFTPサーバーのコマンドポート – ポート21に開始します。次に、クライアントはポートN+1をリッスンし、ポートN+1をFTPサーバーに送信します。FTP サーバーはその後、データ接続を自分のポートMからFTPクライアントのポートN+1に向けて開始します。

しかし、FTPクライアントが外部からの受信データ接続を制御するファイアウォールを設定している場合、アクティブFTPは問題になる可能性があります。そのための実行可能な解決策はパッシブFTPです。

パッシブFTPでは、クライアントが制御接続をポートNからFTPサーバーのポート21に開始します。その後、クライアントはpassvコマンドを発行します。サーバーはその後、クライアントに自分のポート番号Mの1つを送信します。そして、クライアントは自分のポートPからFTPサーバーのポートMにデータ接続を開始します。

出典: https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/

接続デバッグ

FTPコマンド**debugとtrace**を使用して、通信がどのように行われているかを確認できます。

列挙

バナーグラビング

nc -vn <IP> 21
openssl s_client -connect crossfit.htb:21 -starttls ftp #Get certificate if any

STARTTLSを使用してFTPに接続する

lftp
lftp :~> set ftp:ssl-force true
lftp :~> set ssl:verify-certificate no
lftp :~> connect 10.10.10.208
lftp 10.10.10.208:~> login
Usage: login <user|URL> [<pass>]
lftp 10.10.10.208:~> login username Password

Unauth enum

nmapを使用して

sudo nmap -sV -p21 -sC -A 10.10.10.10

HELP および FEAT コマンドを使用して、FTP サーバーの情報を取得できます:

HELP
214-The following commands are recognized (* =>'s unimplemented):
214-CWD     XCWD    CDUP    XCUP    SMNT*   QUIT    PORT    PASV
214-EPRT    EPSV    ALLO*   RNFR    RNTO    DELE    MDTM    RMD
214-XRMD    MKD     XMKD    PWD     XPWD    SIZE    SYST    HELP
214-NOOP    FEAT    OPTS    AUTH    CCC*    CONF*   ENC*    MIC*
214-PBSZ    PROT    TYPE    STRU    MODE    RETR    STOR    STOU
214-APPE    REST    ABOR    USER    PASS    ACCT*   REIN*   LIST
214-NLST    STAT    SITE    MLSD    MLST
214 Direct comments to root@drei.work

FEAT
211-Features:
PROT
CCC
PBSZ
AUTH TLS
MFF modify;UNIX.group;UNIX.mode;
REST STREAM
MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
UTF8
EPRT
EPSV
LANG en-US
MDTM
SSCN
TVFS
MFMT
SIZE
211 End

STAT
#Info about the FTP server (version, configs, status...)

匿名ログイン

anonymous : anonymous
_anonymous :
_ftp : ftp

ftp <IP>
>anonymous
>anonymous
>ls -a # List all files (even hidden) (yes, they could be hidden)
>binary #Set transmission to binary instead of ascii
>ascii #Set transmission to ascii instead of binary
>bye #exit

ブルートフォース

ここでは、デフォルトのFTP認証情報の素晴らしいリストを見つけることができます: https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt

自動化

匿名ログインとバウンスFTPチェックは、nmapの**-sC**オプションを使用してデフォルトで実行されます。

nmap --script ftp-* -p 21 <ip>

ブラウザ接続

You can connect to a FTP server using a browser (like Firefox) using a URL like:

ftp://anonymous:anonymous@10.10.10.98

注意すべきは、ウェブアプリケーションがユーザーによって制御されるデータを直接FTPサーバーに送信している場合、ダブルURLエンコードされた%0d%0a（ダブルURLエンコードでは%250d%250a）バイトを送信することで、FTPサーバーが任意のアクションを実行する可能性があることです。この任意のアクションの一つは、ユーザーが制御するサーバーからコンテンツをダウンロードしたり、ポートスキャンを実行したり、他のプレーンテキストベースのサービス（例えばhttp）と通信を試みたりすることです。

FTPからすべてのファイルをダウンロードする

wget -m ftp://anonymous:anonymous@10.10.10.98 #Donwload all
wget -m --no-passive ftp://anonymous:anonymous@10.10.10.98 #Download all

ユーザー名/パスワードに特殊文字が含まれている場合、以下のコマンドを使用できます：

wget -r --user="USERNAME" --password="PASSWORD" ftp://server.com/

一部のFTPコマンド

• USER username
• PASS password
• HELP サーバーがサポートしているコマンドを示します
• PORT 127,0,0,1,0,80 これはFTPサーバーにIP 127.0.0.1のポート80で接続を確立するよう指示します（5番目の文字を「0」にし、6番目を10進数でポートにする必要があります。または5番目と6番目を使ってポートを16進数で表現します）。
• EPRT |2|127.0.0.1|80| これはFTPサーバーにIP 127.0.0.1のポート80でTCP接続を確立するよう指示します（「2」によって示されます）。このコマンドはIPv6をサポートしています。
• LIST 現在のフォルダー内のファイルのリストを送信します
• LIST -R 再帰的にリスト（サーバーが許可している場合）
• APPE /path/something.txt これはFTPにパッシブ接続またはPORT/EPRT接続から受信したデータをファイルに保存するよう指示します。ファイル名が存在する場合、データを追加します。
• STOR /path/something.txt APPEのようですが、ファイルを上書きします
• STOU /path/something.txt APPEのようですが、存在する場合は何もしません。
• RETR /path/to/file パッシブまたはポート接続を確立する必要があります。その後、FTPサーバーはその接続を通じて指定されたファイルを送信します
• REST 6 これはサーバーに次回RETRを使用して何かを送信する際に6バイト目から開始するよう指示します。
• TYPE i バイナリ転送を設定します
• PASV これはパッシブ接続を開き、ユーザーが接続できる場所を示します
• PUT /tmp/file.txt 指定されたファイルをFTPにアップロードします

FTPバウンス攻撃

一部のFTPサーバーはPORTコマンドを許可します。このコマンドは、サーバーに他のFTPサーバーの特定のポートに接続したいことを示すために使用できます。これを使用して、FTPサーバーを介してホストのどのポートが開いているかをスキャンできます。

ここでFTPサーバーを悪用してポートをスキャンする方法を学びましょう。

この動作を悪用して、FTPサーバーを他のプロトコルと対話させることもできます。HTTPリクエストを含むファイルをアップロードし、脆弱なFTPサーバーに任意のHTTPサーバーに送信させることができます（新しい管理ユーザーを追加するため？）または、FTPリクエストをアップロードして脆弱なFTPサーバーに別のFTPサーバーからファイルをダウンロードさせることもできます。
理論は簡単です：

1. リクエスト（テキストファイル内）を脆弱なサーバーにアップロードします。 他のHTTPまたはFTPサーバーと通信する場合は、0x0d 0x0aで行を変更する必要があることを忘れないでください。
2. REST Xを使用して送信したくない文字を送信しないようにします（おそらくリクエストをファイル内にアップロードするために、最初にいくつかの画像ヘッダーを入れる必要がありました）。
3. PORTを使用して任意のサーバーとサービスに接続します
4. RETRを使用して保存されたリクエストをサーバーに送信します。

これは**ソケットが書き込み可能ではない**というエラーを引き起こす可能性が非常に高いです。接続がRETRでデータを送信するのに十分な時間がないためです。これを回避するための提案は次のとおりです：

• HTTPリクエストを送信している場合、同じリクエストを次々と送信します、少なくとも**~0.5MB**まで。次のように：

• プロトコルに関連する「ジャンク」データでリクエストを埋める（FTPに話しかける場合は、ジャンクコマンドやRETR命令を繰り返してファイルを取得すること）
• リクエストを多くのヌル文字やその他のもので埋める（行で分けるかどうかは問わず）

いずれにせよ、ここに異なるFTPサーバーからファイルをダウンロードするためにこれを悪用する古い例があります。

Filezillaサーバーの脆弱性

FileZillaは通常、ローカルにFileZilla-Server（ポート14147）のための管理サービスをバインドします。このポートにアクセスするためにあなたのマシンからトンネルを作成できれば、空のパスワードを使用して接続し、FTPサービスのために新しいユーザーを作成できます。

設定ファイル

ftpusers
ftp.conf
proftpd.conf
vsftpd.conf

ポストエクスプロイテーション

vsFTPdのデフォルト設定は/etc/vsftpd.confにあります。ここにはいくつかの危険な設定が見つかります：

• anonymous_enable=YES
• anon_upload_enable=YES
• anon_mkdir_write_enable=YES
• anon_root=/home/username/ftp - 匿名用のディレクトリ。
• chown_uploads=YES - 匿名でアップロードされたファイルの所有権を変更
• chown_username=username - 匿名でアップロードされたファイルの所有権を与えられるユーザー
• local_enable=YES - ローカルユーザーのログインを有効にする
• no_anon_password=YES - 匿名にパスワードを尋ねない
• write_enable=YES - コマンドを許可：STOR、DELE、RNFR、RNTO、MKD、RMD、APPE、およびSITE

Shodan

• ftp
• port:21

HackTricks 自動コマンド

Protocol_Name: FTP    #Protocol Abbreviation if there is one.
Port_Number:  21     #Comma separated if there is more than one.
Protocol_Description: File Transfer Protocol          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for FTP
Note: |
Anonymous Login
-bi     <<< so that your put is done via binary

wget --mirror 'ftp://ftp_user:UTDRSCH53c"$6hys@10.10.10.59'
^^to download all dirs and files

wget --no-passive-ftp --mirror 'ftp://anonymous:anonymous@10.10.10.98'
if PASV transfer is disabled

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-ftp/index.html

Entry_2:
Name: Banner Grab
Description: Grab FTP Banner via telnet
Command: telnet -n {IP} 21

Entry_3:
Name: Cert Grab
Description: Grab FTP Certificate if existing
Command: openssl s_client -connect {IP}:21 -starttls ftp

Entry_4:
Name: nmap ftp
Description: Anon login and bounce FTP checks are performed
Command: nmap --script ftp-* -p 21 {IP}

Entry_5:
Name: Browser Connection
Description: Connect with Browser
Note: ftp://anonymous:anonymous@{IP}

Entry_6:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -t 1 -l {Username} -P {Big_Passwordlist} -vV {IP} ftp

Entry_7:
Name: consolesless mfs enumeration ftp
Description: FTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ftp/anonymous; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/ftp_version; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/bison_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/colorado_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' &&  msfconsole -q -x 'use auxiliary/scanner/ftp/titanftp_xcrc_traversal; set RHOSTS {IP}; set RPORT 21; run; exit'