22 - Pentesting SSH/SFTP
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
SSH (Secure Shell lub Secure Socket Shell) to protokół sieciowy, który umożliwia bezpieczne połączenie z komputerem przez niezabezpieczoną sieć. Jest niezbędny do utrzymania poufności i integralności danych podczas uzyskiwania dostępu do zdalnych systemów.
Domyślny port: 22
Serwery SSH:
openSSH – OpenBSD SSH, dostarczany w systemach BSD, dystrybucjach Linux i Windows od Windows 10
Dropbear – implementacja SSH dla środowisk z ograniczonymi zasobami pamięci i procesora, dostarczana w OpenWrt
PuTTY – implementacja SSH dla Windows, klient jest powszechnie używany, ale użycie serwera jest rzadsze
CopSSH – implementacja OpenSSH dla Windows
Biblioteki SSH (implementujące po stronie serwera):
wolfSSH – biblioteka serwera SSHv2 napisana w ANSI C, skierowana do środowisk wbudowanych, RTOS i z ograniczonymi zasobami
Apache MINA SSHD – biblioteka java Apache SSHD oparta na Apache MINA
paramiko – biblioteka protokołu SSHv2 w Pythonie
ssh-audit to narzędzie do audytu konfiguracji serwera i klienta ssh.
https://github.com/jtesta/ssh-audit to zaktualizowany fork z https://github.com/arthepsy/ssh-audit/
Funkcje:
Obsługa protokołu SSH1 i SSH2;
analiza konfiguracji klienta SSH;
pobieranie banera, rozpoznawanie urządzenia lub oprogramowania oraz systemu operacyjnego, wykrywanie kompresji;
zbieranie algorytmów wymiany kluczy, klucza hosta, szyfrowania i kodu uwierzytelniania wiadomości;
wyjście informacji o algorytmach (dostępne od, usunięte/wyłączone, niebezpieczne/słabe/legacy itp.);
wyjście rekomendacji dotyczących algorytmów (dodaj lub usuń na podstawie rozpoznanej wersji oprogramowania);
wyjście informacji o bezpieczeństwie (powiązane problemy, przypisane listy CVE itp.);
analiza zgodności wersji SSH na podstawie informacji o algorytmach;
informacje historyczne z OpenSSH, Dropbear SSH i libssh;
działa na systemach Linux i Windows;
brak zależności
To jest odkrywane domyślnie przez nmap. Możesz również użyć sslcan lub sslyze.
ssh
W niektórych wersjach OpenSSH można przeprowadzić atak czasowy w celu enumeracji użytkowników. Można użyć modułu metasploit, aby to wykorzystać:
Niektóre powszechne dane logowania ssh tutaj i tutaj oraz poniżej.
Jeśli znasz jakieś klucze prywatne ssh, które mogą być użyte... spróbujmy. Możesz użyć skryptu nmap:
Lub moduł pomocniczy MSF:
Or use ssh-keybrute.py (native python3, lightweight and has legacy algorithms enabled): snowdroppe/ssh-keybrute.
Niektóre systemy mają znane wady w losowym ziarnie używanym do generowania materiału kryptograficznego. Może to prowadzić do dramatycznego zmniejszenia przestrzeni kluczy, co można złamać metodą brute force. Wstępnie wygenerowane zestawy kluczy wygenerowane na systemach Debian dotkniętych słabym PRNG są dostępne tutaj: g0tmi1k/debian-ssh.
Powinieneś poszukać tutaj, aby znaleźć ważne klucze dla maszyny ofiary.
crackmapexec używając protokołu ssh może używać opcji --kerberos, aby uwierzytelnić się za pomocą kerberos.
Aby uzyskać więcej informacji, uruchom crackmapexec ssh --help.
Dostawca | Nazwy użytkowników | Hasła |
APC | apc, device | apc |
Brocade | admin | admin123, password, brocade, fibranne |
Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler |
D-Link | admin, user | private, admin, user |
Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin |
EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc |
HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin |
Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 |
IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer |
Juniper | netscreen | netscreen |
NetApp | admin | netapp123 |
Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle |
VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default |
Jeśli jesteś w lokalnej sieci jako ofiara, która zamierza połączyć się z serwerem SSH używając nazwy użytkownika i hasła, możesz spróbować przeprowadzić atak MitM, aby ukraść te dane logowania:
Ścieżka ataku:
Przekierowanie ruchu: Atakujący przekierowuje ruch ofiary na swoją maszynę, skutecznie przechwytując próbę połączenia z serwerem SSH.
Przechwytywanie i rejestrowanie: Maszyna atakującego działa jako proxy, przechwytując dane logowania użytkownika, udając, że jest legalnym serwerem SSH.
Wykonywanie poleceń i przekazywanie: Na koniec serwer atakującego rejestruje dane logowania użytkownika, przekazuje polecenia do prawdziwego serwera SSH, wykonuje je i wysyła wyniki z powrotem do użytkownika, sprawiając, że proces wydaje się płynny i legalny.
SSH MITM robi dokładnie to, co opisano powyżej.
Aby przechwycić i przeprowadzić rzeczywisty MitM, możesz użyć technik takich jak ARP spoofing, DNS spoofing lub innych opisanych w Atakach spoofingowych w sieci.
Jeśli chcesz przeszukiwać sieć, używając odkrytych kluczy prywatnych SSH na systemach, wykorzystując każdy klucz prywatny na każdym systemie dla nowych hostów, to SSH-Snake jest tym, czego potrzebujesz.
SSH-Snake automatycznie i rekurencyjnie wykonuje następujące zadania:
Na bieżącym systemie znajdź wszelkie klucze prywatne SSH,
Na bieżącym systemie znajdź wszelkie hosty lub cele (user@host), które mogą akceptować klucze prywatne,
Spróbuj połączyć się SSH ze wszystkimi celami, używając wszystkich odkrytych kluczy prywatnych,
Jeśli połączenie z celem zakończy się sukcesem, powtórz kroki #1 - #4 na połączonym systemie.
Jest całkowicie samoreplikujący się i samopropagujący -- i całkowicie bezplikowy.
Jest powszechne, że serwery SSH domyślnie pozwalają na logowanie użytkownika root, co stanowi znaczące ryzyko bezpieczeństwa. Wyłączenie logowania jako root jest kluczowym krokiem w zabezpieczaniu serwera. Nieautoryzowany dostęp z uprawnieniami administracyjnymi i ataki brute force można złagodzić, wprowadzając tę zmianę.
Aby wyłączyć logowanie jako root w OpenSSH:
Edytuj plik konfiguracyjny SSH za pomocą: sudoedit /etc/ssh/sshd_config
Zmień ustawienie z #PermitRootLogin yes na PermitRootLogin no.
Przeładuj konfigurację używając: sudo systemctl daemon-reload
Uruchom ponownie serwer SSH, aby zastosować zmiany: sudo systemctl restart sshd
W przypadku konfiguracji SFTP występuje powszechne niedopatrzenie, w którym administratorzy zamierzają, aby użytkownicy wymieniali pliki bez włączania dostępu do powłoki zdalnej. Pomimo ustawienia użytkowników z powłokami nieinteraktywnymi (np. /usr/bin/nologin) i ograniczenia ich do określonego katalogu, pozostaje luka w zabezpieczeniach. Użytkownicy mogą obejść te ograniczenia, żądając wykonania polecenia (takiego jak /bin/bash) natychmiast po zalogowaniu, zanim ich przypisana powłoka nieinteraktywna przejmie kontrolę. To pozwala na nieautoryzowane wykonywanie poleceń, podważając zamierzone środki bezpieczeństwa.
Oto przykład bezpiecznej konfiguracji SFTP (/etc/ssh/sshd_config – openSSH) dla użytkownika noraj:
Ta konfiguracja pozwoli tylko na SFTP: wyłączając dostęp do powłoki poprzez wymuszenie polecenia start i wyłączając dostęp TTY, a także wyłączając wszelkiego rodzaju przekazywanie portów lub tunelowanie.
Jeśli masz dostęp do serwera SFTP, możesz również tunelować swój ruch przez to, na przykład używając powszechnego przekazywania portów:
Polecenie sftp to "symlink". Dlatego, jeśli masz prawa do zapisu w jakimś folderze, możesz tworzyć symlinki do innych folderów/plików. Ponieważ prawdopodobnie jesteś uwięziony w chroot, to nie będzie szczególnie przydatne dla ciebie, ale jeśli możesz uzyskać dostęp do utworzonego symlinka z usługi bez chroot (na przykład, jeśli możesz uzyskać dostęp do symlinka z sieci), możesz otworzyć symlinkowane pliki przez sieć.
Na przykład, aby utworzyć symlink z nowego pliku "froot" do "/":
Jeśli możesz uzyskać dostęp do pliku "froot" przez sieć, będziesz mógł wylistować folder główny ("/") systemu.
W środowisku o wysokim poziomie bezpieczeństwa powszechną praktyką jest włączanie tylko uwierzytelniania opartego na kluczach lub uwierzytelniania dwuskładnikowego, zamiast prostego uwierzytelniania opartego na haśle. Jednak często silniejsze metody uwierzytelniania są włączane bez wyłączania słabszych. Częstym przypadkiem jest włączenie publickey w konfiguracji openSSH i ustawienie go jako domyślnej metody, ale nie wyłączenie password. Dzięki użyciu trybu szczegółowego klienta SSH, atakujący może zobaczyć, że słabsza metoda jest włączona:
Na przykład, jeśli ustalono limit niepowodzeń uwierzytelniania i nigdy nie masz szansy na dotarcie do metody hasła, możesz użyć opcji PreferredAuthentications, aby wymusić użycie tej metody.
Sprawdzenie konfiguracji serwera SSH jest konieczne, aby upewnić się, że tylko oczekiwane metody są autoryzowane. Użycie trybu szczegółowego na kliencie może pomóc w ocenie skuteczności konfiguracji.
Możesz znaleźć interesujące przewodniki na temat zabezpieczania SSH w https://www.ssh-audit.com/hardening_guides.html
Bug bounty tip: zarejestruj się w Intigriti, premium platformie bug bounty stworzonej przez hackerów, dla hackerów! Dołącz do nas na https://go.intigriti.com/hacktricks już dziś i zacznij zarabiać nagrody do 100 000 $!
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
