FTP主动模式中,客户端向服务器发送port命令,指定ip和端口号,服务器收到后,会从80端口发起数据连接。PORT命令格式如下:
PORT A,B,C,D,E,F
服务器解析后,参数的前四个字段,作为地址A.B.C.D,对应的数据连接的目标端口为E*256+F。
ftp的这个特性,被利用的话,可以导致安全问题。假设A.B.C.D是一个邮件服务器,那么如果E,F的值算出来刚好又是smtp服务的端口的话,此时通过ftp命令下载一个文件,那么ftp服务器就会自动连接A.B.C.D的smtp端口,然后将文件内容发往这个端口。刚好此时如果文件内容是经过精心构造,满足smtp协议格式的话,那么就可以用来进行攻击了。
如下的例子:
192.168.1.2为ftp服务器,192.168.1.3为web服务器,并存在sql注入漏洞,192.168.1.1为攻击者。攻击者在成功登陆到ftp服务器上之后,发送port命令,ftp服务器收到命令之后,主动向web服务器的80端口建立连接,作为ftp的数据通道。之后攻击者发送命令下载attack.txt文件,ftp服务器则在已经于web服务器建立好的数据通道上,发送attack.txt的内容。而attack.txt里面的内容刚好构成了一个合法的http请求,切存在sql注入攻击。这样,攻击者就成功利用的ftp服务器向web服务器发起了攻击。sql注入只是一个举例,对于其它的攻击,可以发送带有反弹shell的payload,威胁更大。
不知道ftp主动模式的port命令,为什么要这样设计:port命令可以指定ip和端口。
正常的使用情况下,ftp的控制连接和数据连接应该都是在同一个客户端上的,但是port命令在实现的时候,还可以指定ip,也就是存在控制连接与ip a连接,数据连接则是与ip b连接。实际的使用情况下,会有这样的应用场景么?如果限制ftp的控制连接与数据连接的客户端ip为同一个,那么也就不会产生这类的安全问题了。