一些易受攻击的版本的in.ftpd和其他一些FTP服务器变体对存在和不存在的主目录的“cwd”命令返回不同的响应。这个漏洞可能被利用，因为你可以在认证之前发出cwd命令，如果有主目录，那么很可能会有一个用户帐户。虽然这个漏洞主要存在于遗留系统中，但作为利用FTP的一种方式，它值得了解。此漏洞记录在：https：//www.exploit-db.com/exploits/20745

回答以下问题

目标计算机上有多少个端口是打开的？

答案：2

ftp在哪个端口上运行？

答案：21

什么变体的FTP在运行？

答案：vsftpd

匿名FTP目录中的文件名是什么？

答案：PUBLIC_NOTICE.txt

我们认为一个可能存在的用户名是？

答案：mike

FTP利用

与Telnet类似，使用FTP时，命令和数据通道都未加密，通过这些通道发送的任何数据都可以被拦截和读取。由于来自FTP的数据是以明文形式发送的，如果发生中间人攻击，攻击者可以泄露通过此协议发送的任何内容（例如密码）。JSCape撰写的一篇文章演示并解释了这个过程，它使用ARP-Poisoning来欺骗受害者将敏感信息发送给攻击者。

方法

从我们的枚举结果可知道：

此计算机上正在运行FTP服务
我们有一个可能的用户名使用这些信息，让我们尝试暴力破解FTP服务器的密码。

Hydra

Hydra是一个免费的开源密码破解工具。它可以尝试许多密码，直到找到正确的密码。它可以针对50多种协议执行快速字典攻击，包括Telnet、RDP、SSH、FTP、HTTP、HTTPS、SMB、多个数据库等。Hydra已经安装在AttackBox上，但是，如果您在自己的攻击机器上需要它，您可以在此处找到GitHub存储库。

我们将使用以下命令来查找密码：

hydra -t 4 -l dale -P /usr/share/wordlists/rockyou.txt -vV 10.10.10.6 ftp

让我们对上面的命令分解一下：

hydra : 运行Hydra 工具
-t 4 : 每个目标的并行连接数
-l [user] : 指向您试图破解密码的帐户的用户
-P [path to dictionary] 指向包含可能密码列表的文件
-vV：将详细模式设置为极详细级别，显示每次尝试的登录名与密码组合。
[machine IP]：目标计算机的IP地址
ftp：目标协议

回答以下问题

用户“mike”的密码是什么？

答案：password

答对了！现在，让我们以该用户的身份使用 “ftp [IP]”连接到FTP服务器 并在提示时输入凭据，什么是ftp.txt？

答案：THM{y0u_g0t_th3_ftp_fl4g}

知识扩展

这里有一些东西，如果你感兴趣，在完成这个房间后阅读可能会有用：