22 - Pentesting SSH/SFTP
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
SSH (Secure Shell o Secure Socket Shell) es un protocolo de red que permite una conexión segura a una computadora a través de una red no segura. Es esencial para mantener la confidencialidad e integridad de los datos al acceder a sistemas remotos.
Puerto por defecto: 22
Servidores SSH:
openSSH – OpenBSD SSH, incluido en distribuciones BSD, Linux y Windows desde Windows 10
Dropbear – implementación de SSH para entornos con recursos limitados de memoria y procesador, incluido en OpenWrt
PuTTY – implementación de SSH para Windows, el cliente es comúnmente utilizado pero el uso del servidor es más raro
CopSSH – implementación de OpenSSH para Windows
Bibliotecas SSH (implementando del lado del servidor):
wolfSSH – biblioteca de servidor SSHv2 escrita en ANSI C y dirigida a entornos embebidos, RTOS y con recursos limitados
Apache MINA SSHD – la biblioteca java Apache SSHD se basa en Apache MINA
paramiko – biblioteca del protocolo SSHv2 en Python
ssh-audit es una herramienta para la auditoría de la configuración del servidor y cliente ssh.
https://github.com/jtesta/ssh-audit es un fork actualizado de https://github.com/arthepsy/ssh-audit/
Características:
Soporte para servidores de protocolo SSH1 y SSH2;
analizar la configuración del cliente SSH;
capturar banner, reconocer dispositivo o software y sistema operativo, detectar compresión;
recopilar algoritmos de intercambio de claves, clave de host, cifrado y código de autenticación de mensajes;
salida de información sobre algoritmos (disponible desde, eliminado/deshabilitado, inseguro/débil/legado, etc);
salida de recomendaciones de algoritmos (agregar o eliminar según la versión de software reconocida);
salida de información de seguridad (problemas relacionados, lista de CVE asignados, etc);
analizar la compatibilidad de versiones de SSH basada en la información de algoritmos;
información histórica de OpenSSH, Dropbear SSH y libssh;
funciona en Linux y Windows;
sin dependencias
Esto se descubre por defecto con nmap. Pero también puedes usar sslcan o sslyze.
ssh
En algunas versiones de OpenSSH, puedes realizar un ataque de temporización para enumerar usuarios. Puedes usar un módulo de metasploit para explotar esto:
Algunas credenciales ssh comunes aquí y aquí y a continuación.
Si conoces algunas claves privadas ssh que podrían ser utilizadas... intentémoslo. Puedes usar el script de nmap:
O el módulo auxiliar de MSF:
O use ssh-keybrute.py
(python3 nativo, ligero y con algoritmos heredados habilitados): snowdroppe/ssh-keybrute.
Algunos sistemas tienen fallas conocidas en la semilla aleatoria utilizada para generar material criptográfico. Esto puede resultar en un espacio de claves drásticamente reducido que puede ser atacado por fuerza bruta. Conjuntos de claves pre-generadas generadas en sistemas Debian afectados por PRNG débiles están disponibles aquí: g0tmi1k/debian-ssh.
Deberías buscar aquí para encontrar claves válidas para la máquina víctima.
crackmapexec utilizando el protocolo ssh
puede usar la opción --kerberos
para autenticarse a través de kerberos.
Para más información, ejecuta crackmapexec ssh --help
.
Proveedor
Nombres de usuario
Contraseñas
APC
apc, device
apc
Brocade
admin
admin123, password, brocade, fibranne
Cisco
admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin
admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme
Citrix
root, nsroot, nsmaint, vdiadmin, kvm, cli, admin
C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler
D-Link
admin, user
private, admin, user
Dell
root, user1, admin, vkernel, cli
calvin, 123456, password, vkernel, Stor@ge!, admin
EMC
admin, root, sysadmin
EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc
HP/3Com
admin, root, vcx, app, spvar, manage, hpsupport, opc_op
admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin
Huawei
admin, root
123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123
IBM
USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer
PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer
Juniper
netscreen
netscreen
NetApp
admin
netapp123
Oracle
root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user
changeme, ilom-admin, ilom-operator, welcome1, oracle
VMware
vi-admin, root, hqadmin, vmware, admin
vmware, vmw@re, hqadmin, default
Si estás en la red local como la víctima que va a conectarse al servidor SSH usando nombre de usuario y contraseña, podrías intentar realizar un ataque MitM para robar esas credenciales:
Ruta de ataque:
Redirección de tráfico: El atacante desvía el tráfico de la víctima a su máquina, interceptando efectivamente el intento de conexión al servidor SSH.
Intercepción y registro: La máquina del atacante actúa como un proxy, capturando los detalles de inicio de sesión del usuario al hacerse pasar por el servidor SSH legítimo.
Ejecución de comandos y reenvío: Finalmente, el servidor del atacante registra las credenciales del usuario, reenviando los comandos al verdadero servidor SSH, ejecutándolos, y enviando los resultados de vuelta al usuario, haciendo que el proceso parezca fluido y legítimo.
SSH MITM hace exactamente lo que se describe arriba.
Para capturar y realizar el MitM real, podrías usar técnicas como el spoofing ARP, el spoofing DNS u otras descritas en los ataques de spoofing de red.
Si deseas recorrer una red utilizando claves privadas SSH descubiertas en sistemas, utilizando cada clave privada en cada sistema para nuevos hosts, entonces SSH-Snake es lo que necesitas.
SSH-Snake realiza las siguientes tareas automáticamente y de forma recursiva:
En el sistema actual, encuentra cualquier clave privada SSH,
En el sistema actual, encuentra cualquier host o destino (user@host) que pueda aceptar las claves privadas,
Intenta SSH en todos los destinos utilizando todas las claves privadas descubiertas,
Si se conecta con éxito a un destino, repite los pasos #1 - #4 en el sistema conectado.
Es completamente autorreplicante y autopropagante -- y completamente sin archivos.
Es común que los servidores SSH permitan el inicio de sesión del usuario root por defecto, lo que representa un riesgo de seguridad significativo. Deshabilitar el inicio de sesión como root es un paso crítico para asegurar el servidor. El acceso no autorizado con privilegios administrativos y los ataques de fuerza bruta pueden mitigarse haciendo este cambio.
Para deshabilitar el inicio de sesión como root en OpenSSH:
Edita el archivo de configuración de SSH con: sudoedit /etc/ssh/sshd_config
Cambia la configuración de #PermitRootLogin yes
a PermitRootLogin no
.
Recarga la configuración usando: sudo systemctl daemon-reload
Reinicia el servidor SSH para aplicar los cambios: sudo systemctl restart sshd
Hay un descuido común que ocurre con las configuraciones de SFTP, donde los administradores pretenden que los usuarios intercambien archivos sin habilitar el acceso a la shell remota. A pesar de configurar a los usuarios con shells no interactivas (por ejemplo, /usr/bin/nologin
) y confinarlos a un directorio específico, permanece una brecha de seguridad. Los usuarios pueden eludir estas restricciones solicitando la ejecución de un comando (como /bin/bash
) inmediatamente después de iniciar sesión, antes de que su shell no interactivo designado tome el control. Esto permite la ejecución no autorizada de comandos, socavando las medidas de seguridad previstas.
Aquí hay un ejemplo de configuración segura de SFTP (/etc/ssh/sshd_config
– openSSH) para el usuario noraj
:
Esta configuración permitirá solo SFTP: deshabilitando el acceso a la shell al forzar el comando de inicio y deshabilitando el acceso TTY, pero también deshabilitando todo tipo de reenvío de puertos o tunelización.
Si tienes acceso a un servidor SFTP, también puedes tunelizar tu tráfico a través de esto, por ejemplo, utilizando el reenvío de puertos común:
El sftp tiene el comando "symlink". Por lo tanto, si tienes derechos de escritura en alguna carpeta, puedes crear symlinks de otras carpetas/archivos. Como probablemente estés atrapado dentro de un chroot, esto no será especialmente útil para ti, pero, si puedes acceder al symlink creado desde un servicio no-chroot (por ejemplo, si puedes acceder al symlink desde la web), podrías abrir los archivos enlazados a través de la web.
Por ejemplo, para crear un symlink de un nuevo archivo "froot" a "/":
Si puedes acceder al archivo "froot" a través de la web, podrás listar la carpeta raíz ("/") del sistema.
En entornos de alta seguridad, es una práctica común habilitar solo la autenticación basada en claves o la autenticación de dos factores en lugar de la simple autenticación basada en contraseña. Pero a menudo, los métodos de autenticación más fuertes se habilitan sin deshabilitar los más débiles. Un caso frecuente es habilitar publickey
en la configuración de openSSH y establecerlo como el método predeterminado, pero no deshabilitar password
. Así que, utilizando el modo detallado del cliente SSH, un atacante puede ver que un método más débil está habilitado:
Por ejemplo, si se establece un límite de fallos de autenticación y nunca tienes la oportunidad de acceder al método de contraseña, puedes usar la opción PreferredAuthentications
para forzar el uso de este método.
Revisar la configuración del servidor SSH es necesario para verificar que solo se autoricen los métodos esperados. Usar el modo verbose en el cliente puede ayudar a ver la efectividad de la configuración.
Puedes encontrar guías interesantes sobre cómo endurecer SSH en https://www.ssh-audit.com/hardening_guides.html
Consejo de recompensas por errores: regístrate en Intigriti, una plataforma de recompensas por errores premium creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)