专栏首页漫流砂FTP & TFTP 扫描

FTP & TFTP 扫描

FileTransfer Protocol

ftp协议主要被应用在对网站内容管理(上传文件·)等用途上,很多视频下载网站就使用的是ftp,比如电影天堂,这个协议现在使用的频率也不是很高了。

端口

21端口

账户

Real 账户

就像我们linux主机的root账户一样,可以查看任意位置的文件

Guest账户

Guest与Linux主机中的普通用户一样,只能查看自己目录下的文件,不能跨到其他目录上去

匿名账户

共享文件时才设置的用户,可以任意下载被规定的内容

客户端

最好的ftp客户端就是 Filezilla 了,之前在培训中我还掩饰过用命令行模式下的操作,Filezilla在图形化方面做的相当出色。

攻击手段

1. 匿名访问(或弱口令)+权限设置问题

弱口令是一个很尴尬的问题

2. 服务器软件存在漏洞

比如 vsftpd ,ProFtpd等

3. 嗅探密码

ftp并未使用加密策略,所以可能被嗅探

4. 用来提权

比较著名的就是 Serv-u提权

在shodan上找一个目标吧

可以看到并没有利用成功,说明目标打了补丁或者使用了防御策略

暴力破解我就不掩饰了,等讲到密码破解时候再说吧!

TFTP

TrivialFile Transfer Protocol

端口

69

这个协议本身的设计就不是很安全,首先是基于UDP的明文传输,并且不需要身份认证,如果配置目录限制不严格就可能获取到/etc/passwd文件,还有一些路由表信息等。

这个经常被用在远程下载木马,我们搭建服务端,让目标来下载。

这个脚本是用来枚举文件的

这个协议还被用在反射性DDoS上,这个我们以后再说

本文分享自微信公众号 - 漫流砂(yidalidemao)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-07-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • FTP & VBScript & Powershell & Debug 远程传输

    之前我们说过FTP在非交互shell 下会出现没有办法输入密码,导致身份认证过程没有办法完整完成,这里我们就来介绍一下如何变通。

    意大利的猫
  • 提权(八) fgdump

    fgdump 也是一款可以获取目标Hash的工具,该工具使用起来异常简单,直接执行就好了

    意大利的猫
  • Nexpose漏洞扫描器

    这篇文章我在两周之前就在写了,不过直到今天也没有完成,其中有很多原因,听我一一道来

    意大利的猫
  • Usenet下载教程(高级篇)

    上个星期,我翻译了一篇介绍Usenet的文章。今天,我将剩余的部分写完。 (接前文) 8. 第6节介绍了最基本的下载方法: 1) 选择讨论组(groups);...

    ruanyf
  • 8-22 Android 学习ing

    (1)首先获取网络文件的长短,然后再Android客户端生成一个网络文件长度相等的本地文件

  • 机器学习和深度学习中的正则化方法

    之前我们介绍过在机器学习和深度学习中可能存在过拟合问题,过拟合会导致高偏差,解决办法有两个,一个是增加数据量,一个是正则化,下面我们就介绍一下正则化。

    Minerva
  • 畅通工程(并查集)- HDU 1232

    某省调查城镇交通状况,得到现有城镇道路统计表,表中列出了每条道路直接连通的城镇。省政府“畅通工程”的目标是使全省任何两个城镇间都可以实现交通(但不一定有直接的道...

    ACM算法日常
  • 被内存溢出苦苦折磨的小测试!!!

    什么级别呢,目前本程序就个人测试而言,2199W数据暂时没问题,一次性写入大约九分钟左右。

    软件测试君
  • IJCAI2020 | 知识图神经网络预测药物与药物相互作用

    今天给大家介绍的是湖南大学信息科学与工程学院全哲教授课题组在IJCAI 2020会议上发表的一篇关于知识图神经网络预测药物与药物相互作用的文章。在本文中,作者提...

    DrugAI
  • 挑战程序竞赛系列(64):4.7字符串上的动态规划(2)

    版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.n...

    用户1147447

扫码关注云+社区

领取腾讯云代金券