FTP反弹扫描
前言
FTP反弹攻击的概念有Hobbit最早公之于众。1995年,在Bugtraq上发布的一篇文章里,Hobbit指出了FTP协议中的某些内在缺陷。大体上说FTP反弹攻击时一种狡诈的洗劫FTP服务器连接的方法,它滥用了对代理FTP连接的支持技术,尽管有点过时,但是依旧可以帮助你理解可能被黑客用来攻击你的各种途径。
漏洞原理
所谓的FTP反弹攻击就是利用FTP协议的PORT命令将数据发送到第三方,这样就可以利用FTP服务器实现对其他机器的端口扫描和发送数据了。由于这种攻击的存在,所以FTP服务器一般都限制了PORT命令的IP地址为客户端IP且端口大于1024。
那么详细的过程是什么呢?FTP主动模式中,客户端向服务器发送port命令,指定IP和端口号,服务器收到后,会从80端口发起数据连接。PORT命令格式如下: A,B,C,D,E,F 服务器解析后,参数的前四个字段,作为地址A.B.C.D,对应的数据连接目标端口为E*256+F。 FTP的这个特性被利用的话会导致一系列安全问题。假设A.B.C.D是一个邮件服务器,那么如果E,F的值算出来刚好又是smtp服务端口的话,此时通过FTP命令下载一个文件,那么FTP服务器就会自动连接A.B.C.D的smtp端口,然后将文件内容发往这个端口。刚好此时如果文件内容是经过精心构造,满足smtp协议格式的话,那么就可以用来进行攻击了
漏洞利用
如上图,192.168.1.2为ftp服务器,192.168.1.3为web服务器,并存在sql注入漏洞,192.168.1.1为攻击者。攻击者在成功登陆到ftp服务器上之后,发送port命令,ftp服务器收到命令之后,主动向web服务器的80端口建立连接,作为ftp的数据通道。之后攻击者发送命令下载attack.txt文件,ftp服务器则在已经于web服务器建立好的数据通道上,发送attack.txt的内容。而attack.txt里面的内容刚好构成了一个合法的http请求,切存在sql注入攻击。这样,攻击者就成功利用的ftp服务器向web服务器发起了攻击。sql注入只是一个举例,对于其它的攻击,可以发送带有反弹shell的payload,威胁更大。
工具利用
Nmap
Nmap以-b选项支持这种扫描类型,不过必须有几个条件。首先,FTP服务器必须有一个可读写的目录,例如"/incoming"。其次,FTP服务器必须允许Nmap通过PORT命令提供虚假的端口信息。FTP反弹扫描技术尽管在绕开访问控制设备和隐蔽个人身份上非常有效,但实施过程可能相当慢。而且现在很多新版本FTP服务器并不允许这种类型的扫描活动发生。