FTP Bounce Attack - Printable Version +- Indonesian Back|Track Team (https://www.indonesianbacktrack.or.id/forum) +-- Forum: Attacker Zone (https://www.indonesianbacktrack.or.id/forum/forum-169.html) +--- Forum: Exploitation (https://www.indonesianbacktrack.or.id/forum/forum-43.html) +--- Thread: FTP Bounce Attack (/thread-4976.html) |
FTP Bounce Attack - zee eichel - 09-04-2013 Terinspirasi dari pertanyaan pada thread http://indonesianbacktrack.or.id/forum/Thread-ask-ftp-bounce maka ane coba memberikan sedikit keterangan tentang FTP Bounce Attack ... INTRODUCTION Ok kita coba review dikit mengenai ini , sesuai dengan judul maka serangan ini berdampak pada FTP (file transfer protocol) ~ default port - 21 dengan spesifikasi [PR85 ~ readmore and more ] . File transfer protocol (FTP) dengan spesifikasi ini menyediakan mekanisme klien untuk membangun koneksi dan mengupload file ke direktori FTP antara dua server FTP. Yup proxy ini emang sering di allowed klo-klo koneksi lem0t kyk gw apalagi kl0 Phr3ker ... CCCzero ... yah serupa dengan tunneling gitu , spec kyk gini yang diincer attacker. Nah enough untuk sedikit basic ... beberapa konfigurasi yang menimbulkan efek (#bad_config).. contoh pada VSFTPD Code: /etc/vsftpd/vsftpd.conf ... POSSIBLE EFFECT
SOME EXAMPLE MOTIF
SIMULATION Quote:warning this just for example only NMAP allowed for scan something behind the FTP proxy .. this example for vulnerable server (gw kutip dari TS yang nanya) Quote:nmap -A -T5 -sS -Pn xxx.xxx.xxx.xxx RESULT : yaps server tadi vulnerable untuk dijadikan PROXY :-bd dan jika ane bikin ujicoba secara localhost .. tentu saja dengan beda ip target , maka yang dapat dilakukan adalah ..:- Quote:root@zee~# nmap -v -b anonymous:[email protected] 192.168.1.4 -P0 info ==== Code: username ftp semisal : anonymous Unlucky HuH ? :-? Jika nmap berhasil terkoneksi namun keluar output Quote:“Your ftp bounce server doesn't allow privileged ports, skipping them.” itu tandanya server ftp sudah di hardening, hingga ftp tidak akan mengirim apapun ke port-range 0-1024. ( Quote:Your ftp bounce server sucks, it won't let us feed bogus ports! Kalau server FTP bener2 gk bisa jadi PROXY (alias udah di p4tcH or udah harden) MITIGATION Beberapa solusi yang bisa ditempuh : 1. memastikan agar server FTP tidak mengirimkan data melalui port-port TCP dibawah angka 1024 (reserved port - port cadangan untuk TCP 0 - 1023 ) minimal port 20 ~ perhatikan output nmap setelah berhasil menggunakan port 20 sebagai proxy. 2. Menggunakan password yang baik (biar kagak di brute) 3. Tidak menggunakan user standard ... (prevent user enumeration) SWEAT MEMORY ini adalah bug lama .. kira2 tahun 1995 gw pernah make bug ginian untuk spam email .. so this white paper just for knowledge only ... #More Question in IRC channel thx to all IBTeam staff & member RE: FTP Bounce Attack - Acenk90 - 09-04-2013 nice share om.., btw kalau anonymous usernya di no kan pada konfigurasi FTP servernya apakah masih ngefek itu om..?? RE: FTP Bounce Attack - zee eichel - 09-04-2013 (09-04-2013, 01:30 PM)Acenk90 Wrote: nice share om.., btw kalau anonymous usernya di no kan pada konfigurasi FTP servernya apakah masih ngefek itu om..?? masih ngefek klo attacker bisa dapet user dan pass (salah satu contoh lewat ftp bruteforce) untuk proxy ini bukan masalah dari user privilege ... melainkan dari penggunaan reversed port RE: FTP Bounce Attack - Acenk90 - 09-04-2013 wah.., sip sip.., mantap itu om.., kadang2 kelemahan sysadmin dari sini om.., suka membiarkan port2 yang default terbuka, dan konfigurasi default ga di ubah.., heheh sorry curhat dikit.., btw keep share until die ya om.., RE: FTP Bounce Attack - Veronochi - 09-04-2013 Mantap om zee jadi paham sekarang apa yang harus di lakukan pada FTP saya... hhhehehehehehehheeh Nice Share :* RE: FTP Bounce Attack - abdilahrf - 09-04-2013 thread legenda lama nih om ane baru tau nice share ++ RE: FTP Bounce Attack - xsan-lahci - 09-06-2013 weeeew mantap akhirnya di share sama om zee bookmark |