Strona 1 z 1
Login do FTP
: 12 kwie 2016, 18:56
autor: sebosamuraj
Witam, nie wiem zbytnio jak to nazwać. Moje pytanie jest następujące. Czy za pomocą kaliego da się jakoś wyciągnąć jaki jest login do danej strony www poprzez połączenie ftp. Czy w grę wchodzi tylko i wyłącznie zgadywanie?
Re: Login do FTP
: 14 kwie 2016, 12:02
autor: Kenjin
To zalezy co to za serwer FTP. Na niekyorych mozna probowac sql injection i wyciagnac w ten sposob wszystkie loginy i hasla - jednak szansa ze server nie jest przed tym zabezpieczony jest mala.
Druga opcja to bruteforce loginu i patrzenie na response servera(i to tez tylko jesli server rozroznia bledny login/bledne haslo).
Re: Login do FTP
: 14 kwie 2016, 20:40
autor: sebosamuraj
Oki dzięki za dopowiedz, a gdzie można sprawdzić odpowiedzi serwera?
Re: Login do FTP
: 15 kwie 2016, 13:52
autor: Kenjin
Najprosciej wtyczka do przegladarku np. Firebug(pod firefoxa). W chrome klawisz f12 i network.
Re: Login do FTP
: 15 kwie 2016, 17:37
autor: F3nix
Moim zdaniem brute-force loginu+hasła, ale to za bardzo złożone. Można sprawdzić jeszcze czy konto gościa jest włączone (anonymous). Ewentualnie jak znajdziesz jakiś skrypt z błędami na stronie i wywali on błąd to często wyrzuca ścieżkę do folderu z plikami strony. W niej często na początku znajduje się login użytkownika hostingu. Czasem jest on taki sam jak login do FTP. Jeśli wiesz jaki działa serwer FTP i wersja na serwerze (łącząc się przez konsole lub skanując skanerem portów np NMAP), możesz pobrać go i sprawdzić jak domyślnie jest skonfigurowany i czy w przypadku podania złego loginu wyświetla taką samą informacje jak w przypadku dobrego loginu.
W ten sposób mógłbyś oceniać czy login w systemie FTP takowy istnieje czy też nie.
Przykładowo
Re: Login do FTP
: 15 kwie 2016, 17:45
autor: Kenjin
Tylko, że większość stron ma wyłączone bądź zabezpieczone httaccess inedxowanie
więc to nie przejdzie. Chyba, że chodzi Ci o samą ścieżkę, ale to powiem Ci że pierwsze słysze żeby ktoś nazywał folder httdocs swoim loginem
Re: Login do FTP
: 17 kwie 2016, 03:54
autor: F3nix
Dziwne, bo to jest domyślna konfiguracja większości dużych hostingów w Polsce... Widać to czasem po błędach PHP na stronach internetowych, jeśli ich wyświetlanie jest włączone. Z tej ścieżki do błędnego skryptu czasem, można wyczytać nazwę użytkownika i często się zdarza że taki sam jest tworzony startowy użytkownik do FTP. W sumie tak jak piszesz, każdy przypadek jest inny i należy rozpatrywać go jednostkowo.