hacktricks/src/network-services-pentesting/pentesting-ftp/README.md

# 21 - Pentesting FTP

{{#include ../../banners/hacktricks-training.md}}

## Basiese Inligting

Die **File Transfer Protocol (FTP)** dien as 'n standaardprotokol vir lêer oordrag oor 'n rekenaar netwerk tussen 'n bediener en 'n kliënt.\
Dit is 'n **plain-text** protokol wat die **nuwe lyn karakter `0x0d 0x0a`** gebruik, so soms moet jy **verbinde met `telnet`** of **`nc -C`**.

**Standaard Poort:** 21
```
PORT   STATE SERVICE
21/tcp open  ftp
```
### Verbindinge Aktief & Passief

In **Aktiewe FTP** begin die FTP **klient** eers die beheer **verbinding** vanaf sy poort N na die FTP Bediener se kommando poort – poort 21. Die **klient** luister dan na poort **N+1** en stuur die poort N+1 na die FTP Bediener. Die FTP **Bediener** begin dan die data **verbinding**, vanaf **sy poort M na die poort N+1** van die FTP Klient.

Maar, as die FTP Klient 'n firewall opgestel het wat die inkomende dataverbindinge van buite beheer, kan aktiewe FTP 'n probleem wees. En, 'n haalbare oplossing daarvoor is Passiewe FTP.

In **Passiewe FTP**, begin die klient die beheerverbinding vanaf sy poort N na die poort 21 van die FTP Bediener. Na hierdie, gee die klient 'n **passv kommando** uit. Die bediener stuur dan vir die klient een van sy poortnommers M. En die **klient** **begin** die data **verbinding** vanaf **sy poort P na poort M** van die FTP Bediener.

Bron: [https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/](https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/)

### Verbinding foutopsporing

Die **FTP** opdragte **`debug`** en **`trace`** kan gebruik word om te sien **hoe die kommunikasie plaasvind**.

## Enumerasie

### Banner Grabbing
```bash
nc -vn <IP> 21
openssl s_client -connect crossfit.htb:21 -starttls ftp #Get certificate if any
```
### Verbinding maak met FTP met behulp van starttls
```
lftp
lftp :~> set ftp:ssl-force true
lftp :~> set ssl:verify-certificate no
lftp :~> connect 10.10.10.208
lftp 10.10.10.208:~> login
Usage: login <user|URL> [<pass>]
lftp 10.10.10.208:~> login username Password
```
### Unauth enum

Met **nmap**
```bash
sudo nmap -sV -p21 -sC -A 10.10.10.10
```
U kan die opdragte `HELP` en `FEAT` gebruik om inligting van die FTP-bediener te verkry:
```
HELP
214-The following commands are recognized (* =>'s unimplemented):
214-CWD     XCWD    CDUP    XCUP    SMNT*   QUIT    PORT    PASV
214-EPRT    EPSV    ALLO*   RNFR    RNTO    DELE    MDTM    RMD
214-XRMD    MKD     XMKD    PWD     XPWD    SIZE    SYST    HELP
214-NOOP    FEAT    OPTS    AUTH    CCC*    CONF*   ENC*    MIC*
214-PBSZ    PROT    TYPE    STRU    MODE    RETR    STOR    STOU
214-APPE    REST    ABOR    USER    PASS    ACCT*   REIN*   LIST
214-NLST    STAT    SITE    MLSD    MLST
214 Direct comments to root@drei.work

FEAT
211-Features:
PROT
CCC
PBSZ
AUTH TLS
MFF modify;UNIX.group;UNIX.mode;
REST STREAM
MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
UTF8
EPRT
EPSV
LANG en-US
MDTM
SSCN
TVFS
MFMT
SIZE
211 End

STAT
#Info about the FTP server (version, configs, status...)
```
### Anonieme aanmelding

_anonieme : anonieme_\
\&#xNAN;_anonieme :_\
\&#xNAN;_ftp : ftp_
```bash
ftp <IP>
>anonymous
>anonymous
>ls -a # List all files (even hidden) (yes, they could be hidden)
>binary #Set transmission to binary instead of ascii
>ascii #Set transmission to ascii instead of binary
>bye #exit
```
### [Brute force](../../generic-hacking/brute-force.md#ftp)

Hier kan jy 'n mooi lys met standaard ftp geloofsbriewe vind: [https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt)

### Geoutomatiseerd

Anon inlog en bounce FTP kontrole word standaard deur nmap uitgevoer met die **-sC** opsie of:
```bash
nmap --script ftp-* -p 21 <ip>
```
## Blaaierverbinding

Jy kan met 'n FTP-bediener verbind deur 'n blaaier (soos Firefox) te gebruik met 'n URL soos:
```bash
ftp://anonymous:anonymous@10.10.10.98
```
Let wel dat as 'n **webtoepassing** data wat deur 'n gebruiker beheer word **direk na 'n FTP-bediener** stuur, jy kan dubbele URL-kodering `%0d%0a` (in dubbele URL-kodering is dit `%250d%250a`) bytes stuur en die **FTP-bediener dwing om arbitrêre aksies** uit te voer. Een van hierdie moontlike arbitrêre aksies is om inhoud van 'n gebruiker se beheerde bediener af te laai, poortskandering uit te voer of te probeer om met ander teksgebaseerde dienste (soos http) te kommunikeer.

## Laai alle lêers van FTP af
```bash
wget -m ftp://anonymous:anonymous@10.10.10.98 #Donwload all
wget -m --no-passive ftp://anonymous:anonymous@10.10.10.98 #Download all
```
As jou gebruiker/wagwoord spesiale karakters het, kan die [volgende opdrag](https://stackoverflow.com/a/113900/13647948) gebruik word:
```bash
wget -r --user="USERNAME" --password="PASSWORD" ftp://server.com/
```
## Sommige FTP-opdragte

- **`USER username`**
- **`PASS password`**
- **`HELP`** Die bediener dui aan watter opdragte ondersteun word
- **`PORT 127,0,0,1,0,80`** Dit sal die FTP-bediener aandui om 'n verbinding met die IP 127.0.0.1 op poort 80 te vestig (_jy moet die 5de karakter as "0" en die 6de as die poort in desimale of gebruik die 5de en 6de om die poort in hex te druk_).
- **`EPRT |2|127.0.0.1|80|`** Dit sal die FTP-bediener aandui om 'n TCP-verbinding (_aangedui deur "2"_) met die IP 127.0.0.1 op poort 80 te vestig. Hierdie opdrag **ondersteun IPv6**.
- **`LIST`** Dit sal die lys van lêers in die huidige gids stuur
- **`LIST -R`** Lys rekursief (as toegelaat deur die bediener)
- **`APPE /path/something.txt`** Dit sal die FTP aandui om die data wat van 'n **passiewe** verbinding of van 'n **PORT/EPRT** verbinding ontvang is, na 'n lêer te stoor. As die lêernaam bestaan, sal dit die data byvoeg.
- **`STOR /path/something.txt`** Soos `APPE` maar dit sal die lêers oorskryf
- **`STOU /path/something.txt`** Soos `APPE`, maar as dit bestaan, sal dit niks doen nie.
- **`RETR /path/to/file`** 'n Passiewe of 'n poortverbinding moet gevestig word. Dan sal die FTP-bediener die aangeduide lêer deur daardie verbinding stuur
- **`REST 6`** Dit sal die bediener aandui dat dit die volgende keer wat dit iets stuur met `RETR` in die 6de byte moet begin.
- **`TYPE i`** Stel oordrag na binêr
- **`PASV`** Dit sal 'n passiewe verbinding oopmaak en die gebruiker aandui waar hy kan aansluit
- **`PUT /tmp/file.txt`** Laai die aangeduide lêer na die FTP op

![](<../../images/image (386).png>)

## FTPBounce-aanval

Sommige FTP-bedieners laat die opdrag PORT toe. Hierdie opdrag kan gebruik word om die bediener aan te dui dat jy wil aansluit by 'n ander FTP-bediener op 'n sekere poort. Dan kan jy dit gebruik om te skandeer watter poorte van 'n gasheer oop is deur 'n FTP-bediener.

[**Leer hier hoe om 'n FTP-bediener te misbruik om poorte te skandeer.**](ftp-bounce-attack.md)

Jy kan ook hierdie gedrag misbruik om 'n FTP-bediener met ander protokolle te laat interaksie hê. Jy kan **'n lêer wat 'n HTTP-versoek bevat, oplaai** en die kwesbare FTP-bediener **dit na 'n arbitrêre HTTP-bediener laat stuur** (_miskien om 'n nuwe admin-gebruiker by te voeg?_) of selfs 'n FTP-versoek oplaai en die kwesbare FTP-bediener 'n lêer vir 'n ander FTP-bediener laat aflaai.\
Die teorie is eenvoudig:

1. **Laai die versoek (binne 'n tekslêer) na die kwesbare bediener op.** Onthou dat as jy met 'n ander HTTP of FTP-bediener wil praat, jy lyne moet verander met `0x0d 0x0a`
2. **Gebruik `REST X` om te verhoed dat jy die karakters stuur wat jy nie wil stuur nie** (miskien om die versoek binne die lêer op te laai, moes jy 'n beeldkop aan die begin sit)
3. **Gebruik `PORT` om met die arbitrêre bediener en diens te verbind**
4. **Gebruik `RETR` om die gestoor versoek na die bediener te stuur.**

Dit is hoogs waarskynlik dat dit **'n fout soos** _**Socket nie skryfbaar**_ **sal gooi omdat die verbinding nie lank genoeg duur om die data met `RETR` te stuur nie**. Voorstelle om te probeer om dit te vermy is:

- As jy 'n HTTP-versoek stuur, **sit die dieselfde versoek een na die ander** totdat **\~0.5MB** ten minste. Soos hierdie:

{% file src="../../images/posts.txt" %}
posts.txt
{% endfile %}

- Probeer om die versoek met "rommel" data wat verband hou met die protokol te **vol** (as jy met FTP praat, miskien net rommelopdragte of die `RETR`-instruksie herhaal om die lêer te kry)
- Vul net die versoek met baie null karakters of ander **(verdeeld op lyne of nie)**

In elk geval, hier het jy 'n [ou voorbeeld oor hoe om dit te misbruik om 'n FTP-bediener 'n lêer van 'n ander FTP-bediener af te laai.](ftp-bounce-download-2oftp-file.md)

## Filezilla Bediener Kwesbaarheid

**FileZilla** bind gewoonlik **lokale** aan 'n **Administratiewe diens** vir die **FileZilla-Server** (poort 14147). As jy 'n **tunnel** van **jou masjien** kan skep om toegang tot hierdie poort te verkry, kan jy **verbinde** met **dit** met 'n **leë wagwoord** en **'n nuwe gebruiker** vir die FTP-diens **skep**.

## Konfig-lêers
```
ftpusers
ftp.conf
proftpd.conf
vsftpd.conf
```
### Post-Exploitation

Die standaardkonfigurasie van vsFTPd kan gevind word in `/etc/vsftpd.conf`. Hier kan jy 'n paar gevaarlike instellings vind:

- `anonymous_enable=YES`
- `anon_upload_enable=YES`
- `anon_mkdir_write_enable=YES`
- `anon_root=/home/username/ftp` - Gids vir anonieme gebruikers.
- `chown_uploads=YES` - Verander eienaarskap van anoniem opgelaaide lêers
- `chown_username=username` - Gebruiker wat eienaarskap van anoniem opgelaaide lêers ontvang
- `local_enable=YES` - Stel plaaslike gebruikers in staat om aan te meld
- `no_anon_password=YES` - Vra nie anonieme gebruikers vir 'n wagwoord nie
- `write_enable=YES` - Laat opdragte toe: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE, en SITE

### Shodan

- `ftp`
- `port:21`

## HackTricks Automatiese Opdragte
```
Protocol_Name: FTP    #Protocol Abbreviation if there is one.
Port_Number:  21     #Comma separated if there is more than one.
Protocol_Description: File Transfer Protocol          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for FTP
Note: |
Anonymous Login
-bi     <<< so that your put is done via binary

wget --mirror 'ftp://ftp_user:UTDRSCH53c"$6hys@10.10.10.59'
^^to download all dirs and files

wget --no-passive-ftp --mirror 'ftp://anonymous:anonymous@10.10.10.98'
if PASV transfer is disabled

https://book.hacktricks.xyz/pentesting/pentesting-ftp

Entry_2:
Name: Banner Grab
Description: Grab FTP Banner via telnet
Command: telnet -n {IP} 21

Entry_3:
Name: Cert Grab
Description: Grab FTP Certificate if existing
Command: openssl s_client -connect {IP}:21 -starttls ftp

Entry_4:
Name: nmap ftp
Description: Anon login and bounce FTP checks are performed
Command: nmap --script ftp-* -p 21 {IP}

Entry_5:
Name: Browser Connection
Description: Connect with Browser
Note: ftp://anonymous:anonymous@{IP}

Entry_6:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -t 1 -l {Username} -P {Big_Passwordlist} -vV {IP} ftp

Entry_7:
Name: consolesless mfs enumeration ftp
Description: FTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ftp/anonymous; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/ftp_version; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/bison_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ftp/colorado_ftp_traversal; set RHOSTS {IP}; set RPORT 21; run; exit' &&  msfconsole -q -x 'use auxiliary/scanner/ftp/titanftp_xcrc_traversal; set RHOSTS {IP}; set RPORT 21; run; exit'
```
{{#include ../../banners/hacktricks-training.md}}