HT1001 系列是信安之路推出的黑客工具实战系列课程,完整系列课程需加入信安之路知识星球获取,部分内容需关注信安之路微信公众号查看。
FTP 协议主要用于文件共享,无论是 windows 系统还是 linux 系统都默认包含 ftp 的客户端,直接使用 ftp 命令来连接 ftp 服务器,然后通过命令上传和下载文件。
关于 FTP 服务器的搭建和使用不是今天的重点,今天主要来看看有哪些方式可以针对 FTP 服务进行暴力枚举,从而发现存在弱口令的 FTP 服务,主要根据编程语言来划分,为大家后续的自动化做一些基础参考。
Python 版
使用 python 编写 FTP 爆破工具比较简单,可以使用 ftp 的标准库 ftplib,比如:
from ftplib import FTP
ftp = FTP(host)
ftp.login(user,password)密码正确,则正常退出,如果账户密码错误,则抛出异常。也可以直 Socket 实现认证函数,具体实现可以参考以下项目:
首次运行,查看帮助信息:
使用起来也比较简单:
部分内容隐藏,完整内容请扫描下方二维码加入信安之路知识星球查看
总结
通过本文的研究,对于 FTP 服务的账户口令枚举的原理有一定的了解,对于不同类型的 FTP 服务器,工具使用上需要有一定的调整,除了工具使用之外,更多的是需要自己有一定的编码能力来适应不同的使用场景,然后结合自己的经验整理一份高效的字典,从而提升暴力枚举的成功率。
「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」
信安之路工具站
(๑>ڡ<)☆谢谢老板~
使用微信扫描二维码完成支付
