22 - Pentesting SSH/SFTP
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
SSH (Secure Shell or Secure Socket Shell) je mrežni protokol koji omogućava sigurnu vezu sa računarom preko nesigurne mreže. Ključan je za očuvanje poverljivosti i integriteta podataka prilikom pristupa udaljenim sistemima.
Podrazumevani port: 22
SSH сервери:
openSSH – OpenBSD SSH, испоручен у BSD, Linux дистрибуцијама и Windows од Windows 10
Dropbear – SSH имплементација за окружења са малом меморијом и ресурсима процесора, испоручена у OpenWrt
PuTTY – SSH имплементација за Windows, клијент се често користи, али је употреба сервера ређа
CopSSH – имплементација OpenSSH за Windows
SSH библиотеке (имплементирање на серверској страни):
wolfSSH – SSHv2 серверска библиотека написана у ANSI C и намењена за уграђене, RTOS и окружења ограничена ресурсима
Apache MINA SSHD – Apache SSHD java библиотека је заснована на Apache MINA
paramiko – Python SSHv2 протокол библиотека
ssh-audit je alat za reviziju konfiguracije ssh servera i klijenta.
https://github.com/jtesta/ssh-audit je ažurirani fork sa https://github.com/arthepsy/ssh-audit/
Karakteristike:
Podrška za SSH1 i SSH2 protokol servera;
analizira konfiguraciju SSH klijenta;
uzima banner, prepoznaje uređaj ili softver i operativni sistem, detektuje kompresiju;
prikuplja algoritme za razmenu ključeva, host-key, enkripciju i kod za autentifikaciju poruka;
izlazne informacije o algoritmima (dostupno od, uklonjeno/onemogućeno, nesigurno/slabo/legacy, itd);
izlazne preporuke za algoritme (dodati ili ukloniti na osnovu prepoznate verzije softvera);
izlazne informacije o bezbednosti (povezani problemi, dodeljena CVE lista, itd);
analizira kompatibilnost verzija SSH na osnovu informacija o algoritmima;
istorijske informacije iz OpenSSH, Dropbear SSH i libssh;
radi na Linux-u i Windows-u;
bez zavisnosti
Ovo se otkriva podrazumevano pomoću nmap. Ali možete koristiti i sslcan ili sslyze.
ssh
U nekim verzijama OpenSSH možete izvršiti vremenski napad za enumeraciju korisnika. Možete koristiti Metasploit modul kako biste iskoristili ovo:
Neki uobičajeni ssh kredencijali ovde i ovde i ispod.
Ako znate neke ssh privatne ključeve koji bi mogli biti korišćeni... hajde da probamo. Možete koristiti nmap skriptu:
Ili MSF pomoćni modul:
Or use ssh-keybrute.py (native python3, lightweight and has legacy algorithms enabled): snowdroppe/ssh-keybrute.
Neki sistemi imaju poznate greške u nasumičnom semenu koje se koristi za generisanje kriptografskog materijala. To može rezultirati dramatično smanjenim prostorom ključeva koji se može probiti. Pre-generisani setovi ključeva generisanih na Debian sistemima pogođenim slabim PRNG-om dostupni su ovde: g0tmi1k/debian-ssh.
Trebalo bi da pogledate ovde kako biste tražili važeće ključeve za žrtvinsku mašinu.
crackmapexec koristeći ssh protokol može koristiti opciju --kerberos za autentifikaciju putem kerberos-a.
Za više informacija pokrenite crackmapexec ssh --help.
Vendor | Usernames | Passwords |
APC | apc, device | apc |
Brocade | admin | admin123, password, brocade, fibranne |
Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler |
D-Link | admin, user | private, admin, user |
Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin |
EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc |
HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin |
Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 |
IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer |
Juniper | netscreen | netscreen |
NetApp | admin | netapp123 |
Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle |
VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default |
Ako ste u lokalnoj mreži kao žrtva koja će se povezati na SSH server koristeći korisničko ime i lozinku, mogli biste pokušati da izvršite MitM napad kako biste ukrali te kredencijale:
Napadni put:
Preusmeravanje saobraćaja: Napadač preusmerava saobraćaj žrtve na svoju mašinu, efikasno presrećući pokušaj povezivanja na SSH server.
Presretanje i logovanje: Mašina napadača deluje kao proxy, hvatajući korisničke podatke za prijavu pretvarajući se da je legitimni SSH server.
Izvršenje komandi i prosleđivanje: Na kraju, server napadača loguje korisničke kredencijale, prosleđuje komande pravom SSH serveru, izvršava ih i šalje rezultate nazad korisniku, čineći proces da izgleda besprekorno i legitimno.
SSH MITM radi tačno ono što je opisano iznad.
Da biste uhvatili stvarni MitM, mogli biste koristiti tehnike kao što su ARP spoofing, DNS spoofing ili druge opisane u Network Spoofing attacks.
Ako želite da pretražujete mrežu koristeći otkrivene SSH privatne ključeve na sistemima, koristeći svaki privatni ključ na svakom sistemu za nove hostove, onda je SSH-Snake ono što vam treba.
SSH-Snake automatski i rekurzivno obavlja sledeće zadatke:
Na trenutnom sistemu, pronađite sve SSH privatne ključeve,
Na trenutnom sistemu, pronađite sve hostove ili odredišta (user@host) koja privatni ključevi mogu prihvatiti,
Pokušajte da se SSH povežete na sve odredišta koristeći sve otkrivene privatne ključeve,
Ako se uspešno povežete na odredište, ponovite korake #1 - #4 na povezanom sistemu.
Potpuno se replicira i širi -- i potpuno je bez datoteka.
Uobičajeno je da SSH serveri po defaultu dozvoljavaju prijavu korisnika root, što predstavlja značajan sigurnosni rizik. Onemogućavanje prijave root-a je kritičan korak u obezbeđivanju servera. Neovlašćen pristup sa administrativnim privilegijama i brute force napadi mogu se ublažiti ovom promenom.
Da biste onemogućili prijavu root-a u OpenSSH:
Izmenite SSH konfiguracionu datoteku sa: sudoedit /etc/ssh/sshd_config
Promenite podešavanje sa #PermitRootLogin yes na PermitRootLogin no.
Ponovo učitajte konfiguraciju koristeći: sudo systemctl daemon-reload
Ponovo pokrenite SSH server da primenite promene: sudo systemctl restart sshd
Postoji uobičajena greška koja se dešava sa SFTP podešavanjima, gde administratori nameravaju da korisnici razmenjuju datoteke bez omogućavanja daljinskog pristupa shell-u. Iako su korisnici postavljeni sa neinteraktivnim shell-ovima (npr., /usr/bin/nologin) i ograničeni na određeni direktorijum, ostaje sigurnosna rupa. Korisnici mogu zaobići ova ograničenja tražeći izvršenje komande (kao što je /bin/bash) odmah nakon prijavljivanja, pre nego što njihov dodeljeni neinteraktivni shell preuzme. Ovo omogućava neovlašćeno izvršenje komandi, potkopavajući nameravane sigurnosne mere.
Evo primera sigurne SFTP konfiguracije (/etc/ssh/sshd_config – openSSH) za korisnika noraj:
Ova konfiguracija će omogućiti samo SFTP: onemogućavanje pristupa shell-u prisiljavanjem start komande i onemogućavanjem TTY pristupa, ali takođe onemogućava sve vrste prosleđivanja portova ili tunelovanja.
Ako imate pristup SFTP serveru, možete takođe tunelovati svoj saobraćaj kroz ovo, na primer, koristeći uobičajeno prosleđivanje portova:
The sftp have the command "symlink". Zbog toga, ako imate prava za pisanje u nekom folderu, možete kreirati symlinks drugih foldera/fajlova. Kako ste verovatno zarobljeni unutar chroot-a, ovo neće biti posebno korisno za vas, ali, ako možete pristupiti kreiranom symlink-u iz no-chroot servisa (na primer, ako možete pristupiti symlink-u sa veba), mogli biste otvoriti symlinkovane fajlove putem veba.
Na primer, da kreirate symlink iz novog fajla "froot" u "/":
Ako možete pristupiti datoteci "froot" putem veba, moći ćete da prikažete root ("/") folder sistema.
U okruženju sa visokom bezbednošću, uobičajena praksa je omogućiti samo autentifikaciju zasnovanu na ključevima ili dvostruku autentifikaciju umesto jednostavne autentifikacije zasnovane na lozinkama. Ali često se jače metode autentifikacije omogućavaju bez onemogućavanja slabijih. Čest slučaj je omogućavanje publickey u openSSH konfiguraciji i postavljanje kao podrazumevanu metodu, ali ne onemogućavanje password. Tako da korišćenjem verbose moda SSH klijenta, napadač može videti da je slabija metoda omogućena:
Na primer, ako je postavljen limit za neuspehe autentifikacije i nikada ne dobijete priliku da dođete do metode lozinke, možete koristiti opciju PreferredAuthentications da primorate korišćenje ove metode.
Pregled konfiguracije SSH servera je neophodan da bi se proverilo da su samo očekivane metode autorizovane. Korišćenje verbose moda na klijentu može pomoći da se vidi efikasnost konfiguracije.
Možete pronaći zanimljive vodiče o tome kako ojačati SSH na https://www.ssh-audit.com/hardening_guides.html
Bug bounty tip: prijavite se za Intigriti, premium bug bounty platformu koju su kreirali hakeri, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
