FTP vs SFTP
FTP(File Transfer Protocol)
파일 전송 프로토콜 즉 말 그대로 파일을 전송하는 통신 규약입니다.
원격에 있는 서버에 파일을 주고 받을 때 사용하는 프로토콜인데 암호화가 없고 기본적으로 21 포트 번호를 사용함
SFTP는 앞에 secure이 붙어서 보안적인 측면이 추가된 프로토콜임
Fawn
일단 ping 명령으로 연결이 됐는지부터 확인
그리고 nmap으로 스캐닝 작업을 실시
보면 21포트 즉 ftp를 사용한다는 것을 확인할 수 있었음
그리고 또 여기서 생각해야할 점이 vsftpd 3.0.3이라는 정보를 확인 할 수 있는데
이건 널리 쓰이는 FTP 서버 소프트웨어인데 이렇게 특정 버전이 노출되었을 때 CVE를 검색해서 공격할 수도 있을 것 같음
vsftpd가 돌고 있다는 사실을 생각해보면 많은 관리자들이 vsftpd를 설치한 후, 기본 설정이나 편의를 위해서 익명 접근을 허용한다고 함
nmap 스크립트(--script ftp-anon)를 사용해서 다시 스캔해본다면, 결과에 "Anonymous FTP login allowed"라는 문구가 뜬 것을 확인할 수 있음
Anonymous FTP(익명 FTP) 설정은 보통 서버에 접속하려면 개인 계정이 존재해야하지만, 불특정 다수에게 파일을 공개해야할 때 매번 계정을 만들어 줄 수 없기 때문에 만든 기능입니다.
- 사용자 이름: 관습적으로 anonymous 또는 ftp라는 아이디를 사용합니다.
ftp {target.ip}로 접속을 했음
일단 anonymous, anon123으로 로그인을 해줌으로써 접속 성공
사실 비번은 아무거나 쳐도 됨
ls 실행했을때 flag.txt가 존재함
ftp는 파일 전송 프로토콜이고 get과 put 명령어로 보내고 받는다는 것을 알고 있었음
따라서 get flag.txt로 내 host로 가져옴
보이다 싶이 내 kali에 flag.txt를 가져옴
이후에 cat 명령어로 파일을 읽어주면 flag가 보임.
'HackTheBox' 카테고리의 다른 글
| Starting Point - Redeemer (0) | 2026.03.17 |
|---|---|
| Starting Point - Dancing (0) | 2026.03.17 |
| Starting Point - Meow (0) | 2026.03.16 |