22 - Pentesting SSH/SFTP
Last updated
Last updated
Conseil de prime de bug: inscrivez-vous à Intigriti, une plateforme de prime de bug premium créée par des pirates, pour des pirates! Rejoignez-nous sur https://go.intigriti.com/hacktricks aujourd'hui, et commencez à gagner des primes allant jusqu'à 100 000 $!
SSH (Secure Shell ou Secure Socket Shell) est un protocole réseau qui permet une connexion sécurisée à un ordinateur sur un réseau non sécurisé. Il est essentiel pour maintenir la confidentialité et l'intégrité des données lors de l'accès à des systèmes distants.
Port par défaut: 22
Serveurs SSH :
openSSH – OpenBSD SSH, inclus dans les distributions BSD, Linux et Windows depuis Windows 10
Dropbear – Implémentation SSH pour les environnements avec des ressources mémoire et processeur limitées, inclus dans OpenWrt
PuTTY – Implémentation SSH pour Windows, le client est couramment utilisé mais l'utilisation du serveur est plus rare
CopSSH – Implémentation d'OpenSSH pour Windows
Bibliothèques SSH (implémentation côté serveur) :
wolfSSH – Bibliothèque serveur SSHv2 écrite en ANSI C et ciblant les environnements embarqués, RTOS et à ressources limitées
Apache MINA SSHD – La bibliothèque Java Apache SSHD est basée sur Apache MINA
paramiko – Bibliothèque Python de protocole SSHv2
ssh-audit est un outil d'audit de configuration du serveur et du client ssh.
https://github.com/jtesta/ssh-audit est un fork mis à jour de https://github.com/arthepsy/ssh-audit/
Fonctionnalités:
Prise en charge des serveurs SSH1 et SSH2;
Analyser la configuration du client SSH;
Obtenir la bannière, reconnaître le périphérique ou le logiciel et le système d'exploitation, détecter la compression;
Rassembler les algorithmes d'échange de clés, de clés hôtes, de chiffrement et de code d'authentification des messages;
Informations sur les algorithmes de sortie (disponibles depuis, supprimés/désactivés, non sécurisés/faibles/obsolètes, etc.);
Recommandations d'algorithmes de sortie (ajouter ou supprimer en fonction de la version du logiciel reconnue);
Informations de sécurité de sortie (problèmes connexes, liste CVE attribuée, etc.);
Analyser la compatibilité des versions SSH en fonction des informations sur les algorithmes;
Informations historiques provenant d'OpenSSH, Dropbear SSH et libssh;
Fonctionne sur Linux et Windows;
Aucune dépendance
Regardez la démonstration (Asciinema)
Cela est découvert par défaut par nmap. Mais vous pouvez également utiliser sslcan ou sslyze.
ssh
Dans certaines versions d'OpenSSH, vous pouvez effectuer une attaque temporelle pour énumérer les utilisateurs. Vous pouvez utiliser un module Metasploit pour exploiter cela:
Certains identifiants ssh courants ici et ici et ci-dessous.
Si vous connaissez certaines clés privées ssh qui pourraient être utilisées... essayons. Vous pouvez utiliser le script nmap :
Ou le module auxiliaire MSF :
Ou utilisez ssh-keybrute.py
(python3 natif, léger et avec des algorithmes hérités activés): snowdroppe/ssh-keybrute.
Certains systèmes présentent des failles connues dans la graine aléatoire utilisée pour générer du matériel cryptographique. Cela peut entraîner une réduction drastique de l'espace des clés qui peut être brute-forcé. Des ensembles de clés pré-générées sur des systèmes Debian affectés par un PRNG faible sont disponibles ici: g0tmi1k/debian-ssh.
Vous devriez regarder ici pour rechercher des clés valides pour la machine cible.
crackmapexec utilisant le protocole ssh
peut utiliser l'option --kerberos
pour s'authentifier via kerberos.
Pour plus d'informations, exécutez crackmapexec ssh --help
.
Si vous êtes sur le réseau local en tant que victime qui va se connecter au serveur SSH en utilisant un nom d'utilisateur et un mot de passe, vous pourriez essayer de réaliser une attaque MitM pour voler ces informations d'identification:
Chemin de l'attaque:
Redirection du trafic: L'attaquant dévie le trafic de la victime vers sa machine, interceptant ainsi la tentative de connexion au serveur SSH.
Interception et enregistrement: La machine de l'attaquant agit comme un proxy, capturant les détails de connexion de l'utilisateur en se faisant passer pour le serveur SSH légitime.
Exécution de commandes et relais: Enfin, le serveur de l'attaquant enregistre les informations d'identification de l'utilisateur, transmet les commandes au vrai serveur SSH, les exécute, et renvoie les résultats à l'utilisateur, rendant le processus apparemment fluide et légitime.
SSH MITM fait exactement ce qui est décrit ci-dessus.
Pour capturer et effectuer le véritable MitM, vous pourriez utiliser des techniques comme le spoofing ARP, le spoofing DNS ou d'autres décrites dans les attaques de spoofing réseau.
Si vous souhaitez traverser un réseau en utilisant des clés privées SSH découvertes sur des systèmes, en utilisant chaque clé privée sur chaque système pour de nouveaux hôtes, alors SSH-Snake est ce dont vous avez besoin.
SSH-Snake effectue automatiquement et de manière récursive les tâches suivantes:
Sur le système actuel, trouver toutes les clés privées SSH,
Sur le système actuel, trouver tous les hôtes ou destinations (utilisateur@hôte) auxquels les clés privées peuvent être acceptées,
Tenter de se connecter en SSH à toutes les destinations en utilisant toutes les clés privées découvertes,
Si une destination est connectée avec succès, répéter les étapes #1 - #4 sur le système connecté.
Il est entièrement auto-réplicatif et auto-propageant - et complètement sans fichier.
Il est courant que les serveurs SSH autorisent la connexion de l'utilisateur root par défaut, ce qui pose un risque de sécurité important. Désactiver la connexion root est une étape critique pour sécuriser le serveur. L'accès non autorisé avec des privilèges administratifs et les attaques par force brute peuvent être atténués en apportant ce changement.
Pour désactiver la connexion root dans OpenSSH:
Éditez le fichier de configuration SSH avec: sudoedit /etc/ssh/sshd_config
Modifiez le paramètre de #PermitRootLogin yes
à PermitRootLogin no
.
Rechargez la configuration en utilisant: sudo systemctl daemon-reload
Redémarrez le serveur SSH pour appliquer les changements: sudo systemctl restart sshd
Il y a une négligence courante avec les configurations SFTP, où les administrateurs souhaitent que les utilisateurs échangent des fichiers sans activer l'accès à un shell distant. Malgré le fait de définir des utilisateurs avec des shells non interactifs (par exemple, /usr/bin/nologin
) et de les confiner à un répertoire spécifique, une faille de sécurité persiste. Les utilisateurs peuvent contourner ces restrictions en demandant l'exécution d'une commande (comme /bin/bash
) immédiatement après la connexion, avant que leur shell non interactif désigné prenne le relais. Cela permet une exécution de commandes non autorisée, sapant les mesures de sécurité prévues.
Voici un exemple de configuration sécurisée SFTP (/etc/ssh/sshd_config
- openSSH) pour l'utilisateur noraj
:
Cette configuration permettra uniquement le SFTP : désactiver l'accès au shell en forçant la commande de démarrage et en désactivant l'accès au TTY, mais aussi en désactivant tous les types de transfert de port ou de tunnelisation.
Si vous avez accès à un serveur SFTP, vous pouvez également faire transiter votre trafic par celui-ci, par exemple en utilisant la redirection de port courante :
Le sftp dispose de la commande "symlink". Par conséquent, si vous avez des droits d'écriture dans un dossier, vous pouvez créer des liens symboliques vers d'autres dossiers/fichiers. Comme vous êtes probablement piégé dans un chroot, cela ne sera pas particulièrement utile pour vous, mais si vous pouvez accéder au lien symbolique créé à partir d'un service sans chroot (par exemple, si vous pouvez accéder au lien symbolique depuis le web), vous pourriez ouvrir les fichiers liés par le lien symbolique via le web.
Par exemple, pour créer un lien symbolique d'un nouveau fichier "froot" vers "/":
Si vous pouvez accéder au fichier "froot" via le web, vous pourrez lister le dossier racine ("/") du système.
Dans un environnement à haute sécurité, il est courant d'activer uniquement l'authentification basée sur des clés ou l'authentification à deux facteurs plutôt que l'authentification basée sur un mot de passe simple. Cependant, il arrive souvent que les méthodes d'authentification plus fortes soient activées sans désactiver les plus faibles. Un cas fréquent est d'activer publickey
dans la configuration d'openSSH et de le définir comme méthode par défaut sans désactiver password
. Ainsi, en utilisant le mode verbeux du client SSH, un attaquant peut voir qu'une méthode plus faible est activée:
Par exemple, si une limite d'échec d'authentification est définie et que vous n'avez jamais la possibilité d'atteindre la méthode du mot de passe, vous pouvez utiliser l'option PreferredAuthentications
pour forcer l'utilisation de cette méthode.
Il est nécessaire de vérifier la configuration du serveur SSH pour s'assurer que seuls les méthodes attendues sont autorisées. L'utilisation du mode verbeux sur le client peut aider à voir l'efficacité de la configuration.
Vous pouvez trouver des guides intéressants sur la façon de renforcer SSH dans https://www.ssh-audit.com/hardening_guides.html
Conseil de prime de bug: inscrivez-vous sur Intigriti, une plateforme de prime de bug premium créée par des hackers, pour des hackers! Rejoignez-nous sur https://go.intigriti.com/hacktricks aujourd'hui, et commencez à gagner des primes allant jusqu'à 100 000 $!
Fournisseur
Noms d'utilisateur
Mots de passe
APC
apc, device
apc
Brocade
admin
admin123, password, brocade, fibranne
Cisco
admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin
admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme
Citrix
root, nsroot, nsmaint, vdiadmin, kvm, cli, admin
C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler
D-Link
admin, user
private, admin, user
Dell
root, user1, admin, vkernel, cli
calvin, 123456, password, vkernel, Stor@ge!, admin
EMC
admin, root, sysadmin
EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc
HP/3Com
admin, root, vcx, app, spvar, manage, hpsupport, opc_op
admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin
Huawei
admin, root
123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123
IBM
USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer
PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer
Juniper
netscreen
netscreen
NetApp
admin
netapp123
Oracle
root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user
changeme, ilom-admin, ilom-operator, welcome1, oracle
VMware
vi-admin, root, hqadmin, vmware, admin
vmware, vmw@re, hqadmin, default