Login do FTP

Pytania dla zielonych dotyczące bezpieczeństwa.
sebosamuraj
Posty: 26
Rejestracja: 15 sty 2016, 12:02

Login do FTP

Post autor: sebosamuraj »

Witam, nie wiem zbytnio jak to nazwać. Moje pytanie jest następujące. Czy za pomocą kaliego da się jakoś wyciągnąć jaki jest login do danej strony www poprzez połączenie ftp. Czy w grę wchodzi tylko i wyłącznie zgadywanie?
Kenjin
Ekipa HEP
Posty: 122
Rejestracja: 04 sty 2016, 22:10

Re: Login do FTP

Post autor: Kenjin »

To zalezy co to za serwer FTP. Na niekyorych mozna probowac sql injection i wyciagnac w ten sposob wszystkie loginy i hasla - jednak szansa ze server nie jest przed tym zabezpieczony jest mala.

Druga opcja to bruteforce loginu i patrzenie na response servera(i to tez tylko jesli server rozroznia bledny login/bledne haslo).
sebosamuraj
Posty: 26
Rejestracja: 15 sty 2016, 12:02

Re: Login do FTP

Post autor: sebosamuraj »

Oki dzięki za dopowiedz, a gdzie można sprawdzić odpowiedzi serwera?
Kenjin
Ekipa HEP
Posty: 122
Rejestracja: 04 sty 2016, 22:10

Re: Login do FTP

Post autor: Kenjin »

Najprosciej wtyczka do przegladarku np. Firebug(pod firefoxa). W chrome klawisz f12 i network.
Awatar użytkownika
F3nix
Posty: 332
Rejestracja: 28 kwie 2015, 20:51

Re: Login do FTP

Post autor: F3nix »

Moim zdaniem brute-force loginu+hasła, ale to za bardzo złożone. Można sprawdzić jeszcze czy konto gościa jest włączone (anonymous). Ewentualnie jak znajdziesz jakiś skrypt z błędami na stronie i wywali on błąd to często wyrzuca ścieżkę do folderu z plikami strony. W niej często na początku znajduje się login użytkownika hostingu. Czasem jest on taki sam jak login do FTP. Jeśli wiesz jaki działa serwer FTP i wersja na serwerze (łącząc się przez konsole lub skanując skanerem portów np NMAP), możesz pobrać go i sprawdzić jak domyślnie jest skonfigurowany i czy w przypadku podania złego loginu wyświetla taką samą informacje jak w przypadku dobrego loginu.

W ten sposób mógłbyś oceniać czy login w systemie FTP takowy istnieje czy też nie.

Przykładowo

Kod: Zaznacz cały

BLABLABLA /var/www/f3nix/public_html
Kenjin
Ekipa HEP
Posty: 122
Rejestracja: 04 sty 2016, 22:10

Re: Login do FTP

Post autor: Kenjin »

Tylko, że większość stron ma wyłączone bądź zabezpieczone httaccess inedxowanie :P więc to nie przejdzie. Chyba, że chodzi Ci o samą ścieżkę, ale to powiem Ci że pierwsze słysze żeby ktoś nazywał folder httdocs swoim loginem
Awatar użytkownika
F3nix
Posty: 332
Rejestracja: 28 kwie 2015, 20:51

Re: Login do FTP

Post autor: F3nix »

Dziwne, bo to jest domyślna konfiguracja większości dużych hostingów w Polsce... Widać to czasem po błędach PHP na stronach internetowych, jeśli ich wyświetlanie jest włączone. Z tej ścieżki do błędnego skryptu czasem, można wyczytać nazwę użytkownika i często się zdarza że taki sam jest tworzony startowy użytkownik do FTP. W sumie tak jak piszesz, każdy przypadek jest inny i należy rozpatrywać go jednostkowo.
ODPOWIEDZ