Quartz 4

Analisi FTP

1 min read

tags: Analisi_FTP wireshark Analisti_Traffico_Wireshark

Filtro Base

ftp

In seguito possiamo dividere le ricerche in status x1x, x2x e x3x:

  • 211: System status.

  • 212: Directory status.

  • 213: File status

  • 220: Service ready.

  • 227: Entering passive mode.

  • 228: Long passive mode.

  • 229: Extended passive mode.

  • 230: User login.

  • 231: User logout.

  • 331: Valid username.

  • 430: Invalid username or password

  • 530: No login, invalid password.

Esempi

 
ftp.response.code == 211
 
ftp.response.code == 227
 
ftp.response.code == 230

Filtri avanzati

  • USER: Username.
  • PASS: Password.
  • CWD: Directory di lavoro corrente.
  • LIST: Lista.
 
ftp.request.command == "USER"
 
ftp.request.command == "PASS"
 
ftp.request.arg == "password"
  • Bruteforce signal: Elenca i tentativi di accesso non riusciti.
  • Bruteforce signal: Elenca il nome utente di destinazione.
  • Password spray signal: Elenca gli obiettivi per una password statica.
ftp.response.code == 530
 
(ftp.response.code == 530) and (ftp.response.arg contains "username")
 
(ftp.request.command == "PASS" ) and (ftp.request.arg == "password")

Per trovare Login senza password usa:

ftp and !ftp.request.arg and ftp.request.command

Per trovare login con password usa:

ftp.request.arg

Graph View