banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật FTP Bounce Attack  XML
  [Question]   FTP Bounce Attack 12/10/2012 22:35:11 (+0700) | #1 | 270122
[Avatar]
m3ty_rud
Member

[Minus]    0    [Plus]
Joined: 15/09/2012 08:25:59
Messages: 6
Offline
[Profile] [PM]
Phương pháp này sẽ giả danh một FTP Client sử dụng PORT command để mở cổng kết nối dữ liệu đến FTP Server (sau khi đã được Server chấp nhận yêu cầu kết nối điều khiển qua PORT 21) .
Khi kết nối dữ liệu được thiết lập giữa Client giả danh và Server, Client có thể upload những tài liệu chứa mã độc hay phần mềm độc hại gửi lên Server và yêu cầu gửi đến các máy chủ nội bộ. Mục đích là chiếm quyền điều khiển của máy chủ nội bộ, sử dụng các tài nguyên, CPU

Em không biết hiểu như vậy có đúng không? Tuy nhiên em vẫn có thắc mắc là:
"Để mở cổng kết nối dữ liệu thì số PORT number là do Client quyết định hay mặc định chỉ là PORT 20 (vì em đọc một số tài liệu thì khi kết nối điều khiển được thiết lập thì Server sẽ mở kết nối dữ liệu đến Client thông qua PORT 20)"
RUD!
[Up] [Print Copy]
  [Question]   FTP Bounce Attack 13/10/2012 12:22:50 (+0700) | #2 | 270139
n2tforever
Member

[Minus]    0    [Plus]
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
[Profile] [PM]
http://www.cert.org/tech_tips/ftp_port_attacks.html
[Up] [Print Copy]
  [Question]   FTP Bounce Attack 14/10/2012 01:18:49 (+0700) | #3 | 270158
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
theo cái link http://www.cert.org/tech_tips/ftp_port_attacks.html thì kĩ thuật này có thể dùng với nhiều mục đích khác nhau, tuy nhiên có 1 số mục đích như:
Port scanning

Bypassing basic packet filtering devices

Bypassing export restrictions

bạn nên tham khảo ở đó

khi dùng PORT command, thông tin về cổng có thể là số tuỳ ý, thông thường là 20 nhưng có thể đặt giá trị bao nhiêu cũng được, tất nhiên là < 65535
[Up] [Print Copy]
  [Question]   FTP Bounce Attack 14/10/2012 11:37:51 (+0700) | #4 | 270168
n2tforever
Member

[Minus]    0    [Plus]
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
[Profile] [PM]
cái này theo mình hiểu thì TCP là một kết nối 2 chiều vì thế cả client và server đều phải mở cổng để kết nối , số cổng client gửi ở lệnh PORT là cổng trên máy client (thường lớn hơn 1023) , server sau đó sẽ dùng cổng 20 của mình để kết nối đến cổng đó.
[Up] [Print Copy]
  [Question]   FTP Bounce Attack 14/10/2012 12:05:23 (+0700) | #5 | 270169
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]

n2tforever wrote:
cái này theo mình hiểu thì TCP là một kết nối 2 chiều vì thế cả client và server đều phải mở cổng để kết nối , số cổng client gửi ở lệnh PORT là cổng trên máy client (thường lớn hơn 1023) , server sau đó sẽ dùng cổng 20 của mình để kết nối đến cổng đó.  

Server chỉ cần kết nối tới client là được, cần gì phải qua cổng 20.

trường hợp nhiều client thì server sẽ dùng cổng 20 cho client nào?? Cổng 20 chỉ là lý thuyết, thực tế sẽ khác bạn ạ
[Up] [Print Copy]
  [Question]   FTP Bounce Attack 15/10/2012 15:50:29 (+0700) | #6 | 270204
[Avatar]
m3ty_rud
Member

[Minus]    0    [Plus]
Joined: 15/09/2012 08:25:59
Messages: 6
Offline
[Profile] [PM]
Cảm ơn acoustics89. Vấn đề của em về Port kết nối dữ liệu được giải quyết.

Em có thêm một số câu hỏi nữa:
1. Server có phải là người chủ động mở đường kết nối dữ liệu đến Client không?
2. Nếu Server là người chủ động thì Port Number sẽ do Server quyết định hay khi gửi yêu cầu mở kết nối điều khiển, Client gửi kèm theo yêu cầu là phải mở kết nối dữ liệu theo Port mà nó yêu cầu-->(câu này em hỏi là để chắc xem kẻ tấn công sẽ giả danh thằng Sever hay Client)
RUD!
[Up] [Print Copy]
  [Question]   FTP Bounce Attack 15/10/2012 20:46:24 (+0700) | #7 | 270211
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Chào bạn, vấn đề của bạn có thể giải quyết nếu bạn đọc lại link trên và bộ giao thức FTP.

mình giả định attacker cần tấn công máy chủ có IP là a1.a2.a3.a4. Attacker cần thăm dò xem máy chủ mở những cổng nào

1. server mở data connection hay client mở là do client quyết định.
có 2 lệnh là PORT và PASV.
PORT cung cấp cổng để server kết nối tới
PASV sẽ yêu cầu server mở cổng , client kết nối tới và nhận dữ liệu.
Phía nào mở kết nối trứoc hoàn toàn do client quyết định

2. Khi dùng lệnh PORT a1,a2,a3,a4,p1,p2
với a1. a2.a3.a4 là ip của máy cần tấn công
p1, p2 là 2 số mô tả cổng cần tấn công. Số hiệu cổng = 256*p1 + p2;

Cách tấn công như sau:
attacker tìm một public ftp server. kết nối tới qua cổng command.
attacker gửi lệnh PORT với IP và port của server cần tấn công.
Kết quả trả về trên command connection cho biết cổng đó có mở hay không.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|