22 - Pentesting SSH/SFTP
Suggerimento per il bug bounty: iscriviti a Intigriti, una piattaforma di bug bounty premium creata da hacker, per hacker! Unisciti a noi su https://go.intigriti.com/hacktricks oggi e inizia a guadagnare taglie fino a $100,000!
Informazioni di base
SSH (Secure Shell o Secure Socket Shell) è un protocollo di rete che consente una connessione sicura a un computer su una rete non sicura. È essenziale per mantenere la riservatezza e l'integrità dei dati durante l'accesso ai sistemi remoti.
Porta predefinita: 22
Server SSH:
openSSH – OpenBSD SSH, incluso nelle distribuzioni BSD, Linux e Windows a partire da Windows 10
Dropbear – Implementazione SSH per ambienti con risorse di memoria e processore limitate, inclusa in OpenWrt
PuTTY – Implementazione SSH per Windows, il client è comunemente usato ma l'uso del server è più raro
CopSSH – Implementazione di OpenSSH per Windows
Librerie SSH (implementazione lato server):
wolfSSH – Libreria server SSHv2 scritta in ANSI C e mirata a ambienti incorporati, RTOS e con risorse limitate
Apache MINA SSHD – La libreria Java Apache SSHD si basa su Apache MINA
paramiko – Libreria Python per il protocollo SSHv2
Enumerazione
Banner Grabbing
Audit automatico di ssh
ssh-audit è uno strumento per l'audit della configurazione del server e del client ssh.
https://github.com/jtesta/ssh-audit è un fork aggiornato da https://github.com/arthepsy/ssh-audit/
Caratteristiche:
Supporto del server per i protocolli SSH1 e SSH2;
analisi della configurazione del client SSH;
acquisizione del banner, riconoscimento del dispositivo o del software e del sistema operativo, rilevamento della compressione;
raccolta di algoritmi di scambio chiave, chiave host, crittografia e codice di autenticazione del messaggio;
informazioni sugli algoritmi di output (disponibili da quando, rimossi/disabilitati, non sicuri/deboli/obsoleti, ecc.);
raccomandazioni sugli algoritmi di output (aggiungi o rimuovi in base alla versione del software riconosciuta);
informazioni sulla sicurezza di output (problemi correlati, elenco CVE assegnato, ecc.);
analisi della compatibilità della versione SSH basata sulle informazioni sugli algoritmi;
informazioni storiche da OpenSSH, Dropbear SSH e libssh;
funziona su Linux e Windows;
nessuna dipendenza
Chiave pubblica SSH del server
Algoritmi di crittografia deboli
Questo viene scoperto per impostazione predefinita da nmap. Ma puoi anche utilizzare sslcan o sslyze.
Script di Nmap
Shodan
ssh
Forza bruta nomi utente, password e chiavi private
Enumerazione dei nomi utente
In alcune versioni di OpenSSH è possibile effettuare un attacco temporizzato per enumerare gli utenti. È possibile utilizzare un modulo di metasploit per sfruttare ciò:
Alcune credenziali ssh comuni qui e qui e di seguito.
Forza Bruta con Chiave Privata
Se conosci alcune chiavi private ssh che potrebbero essere utilizzate... proviamoci. Puoi utilizzare lo script nmap:
O il modulo ausiliario MSF:
Oppure utilizzare ssh-keybrute.py
(python3 nativo, leggero e con algoritmi legacy abilitati): snowdroppe/ssh-keybrute.
Chiavi compromesse conosciute possono essere trovate qui:
Chiavi SSH deboli / PRNG prevedibile di Debian
Alcuni sistemi presentano difetti noti nel seme casuale utilizzato per generare materiale crittografico. Ciò può comportare una riduzione drastica dello spazio delle chiavi che può essere oggetto di attacco di forza bruta. Set pre-generati di chiavi generate su sistemi Debian affetti da PRNG debole sono disponibili qui: g0tmi1k/debian-ssh.
Dovresti cercare qui per cercare chiavi valide per la macchina vittima.
Kerberos
crackmapexec utilizzando il protocollo ssh
può utilizzare l'opzione --kerberos
per autenticarsi tramite kerberos.
Per ulteriori informazioni eseguire crackmapexec ssh --help
.
Credenziali predefinite
Fornitore | Nomi utente | Password |
APC | apc, device | apc |
Brocade | admin | admin123, password, brocade, fibranne |
Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler |
D-Link | admin, user | private, admin, user |
Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin |
EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc |
HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin |
Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 |
IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer |
Juniper | netscreen | netscreen |
NetApp | admin | netapp123 |
Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle |
VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default |
SSH-MitM
Se ti trovi nella rete locale della vittima che si sta connettendo al server SSH utilizzando nome utente e password, potresti provare a eseguire un attacco MitM per rubare quelle credenziali:
Percorso dell'attacco:
Reindirizzamento del traffico: L'attaccante devia il traffico della vittima verso la propria macchina, intercettando efficacemente il tentativo di connessione al server SSH.
Intercettazione e registrazione: La macchina dell'attaccante agisce come un proxy, catturando i dettagli di accesso dell'utente fingendo di essere il legittimo server SSH.
Esecuzione di comandi e relay: Infine, il server dell'attaccante registra le credenziali dell'utente, inoltra i comandi al vero server SSH, li esegue e invia i risultati all'utente, rendendo il processo apparentemente regolare e legittimo.
SSH MITM fa esattamente ciò che è descritto sopra.
Per catturare effettuare il vero MitM potresti utilizzare tecniche come ARP spoofing, DNS spoofing o altre descritte negli attacchi di spoofing di rete.
SSH-Snake
Se desideri attraversare una rete utilizzando chiavi private SSH scoperte sui sistemi, utilizzando ciascuna chiave privata su ciascun sistema per nuovi host, allora SSH-Snake è ciò di cui hai bisogno.
SSH-Snake esegue automaticamente e in modo ricorsivo le seguenti attività:
Sul sistema attuale, trova eventuali chiavi private SSH,
Sul sistema attuale, trova eventuali host o destinazioni (utente@host) che potrebbero accettare le chiavi private,
Prova a connettersi via SSH a tutte le destinazioni utilizzando tutte le chiavi private scoperte,
Se una destinazione viene connessa con successo, ripete i passaggi #1 - #4 sul sistema connesso.
È completamente auto-replicante e auto-propagante - e completamente senza file.
Configurazioni errate della configurazione
Accesso root
È comune che i server SSH consentano l'accesso dell'utente root per impostazione predefinita, il che costituisce un rischio significativo per la sicurezza. Disabilitare l'accesso root è un passaggio critico per proteggere il server. L'accesso non autorizzato con privilegi amministrativi e gli attacchi di forza bruta possono essere mitigati apportando questa modifica.
Per disabilitare l'accesso root in OpenSSH:
Modificare il file di configurazione SSH con:
sudoedit /etc/ssh/sshd_config
Cambiare l'impostazione da
#PermitRootLogin yes
aPermitRootLogin no
.Ricaricare la configurazione utilizzando:
sudo systemctl daemon-reload
Riavviare il server SSH per applicare le modifiche:
sudo systemctl restart sshd
Forza bruta SFTP
Esecuzione di comandi SFTP
Si verifica spesso un'oversight comune con le configurazioni SFTP, dove gli amministratori intendono che gli utenti scambino file senza abilitare l'accesso alla shell remota. Nonostante si impostino gli utenti con shell non interattive (ad es. /usr/bin/nologin
) e li si confini in una directory specifica, rimane una falla di sicurezza. Gli utenti possono aggirare queste restrizioni richiedendo l'esecuzione di un comando (come /bin/bash
) immediatamente dopo il login, prima che la loro shell non interattiva designata prenda il controllo. Ciò consente l'esecuzione non autorizzata di comandi, minando le misure di sicurezza previste.
Ecco un esempio di configurazione sicura di SFTP (/etc/ssh/sshd_config
- openSSH) per l'utente noraj
:
Questo settaggio permetterà solo SFTP: disabilitando l'accesso alla shell forzando il comando di avvio e disabilitando l'accesso TTY ma anche disabilitando ogni tipo di inoltro di porta o tunneling.
Tunneling SFTP
Se hai accesso a un server SFTP, puoi anche instradare il tuo traffico attraverso questo ad esempio utilizzando l'inoltro di porta comune:
SFTP Symlink
Il sftp ha il comando "symlink". Pertanto, se hai diritti di scrittura in una cartella, puoi creare symlink di altre cartelle/file. Poiché probabilmente sei intrappolato all'interno di un chroot, questo non sarà particolarmente utile per te, ma se riesci ad accedere al symlink creato da un servizio senza chroot (ad esempio, se puoi accedere al symlink dal web), potresti aprire i file simbolici tramite il web.
Ad esempio, per creare un symlink da un nuovo file "froot" a "/":
Se riesci ad accedere al file "froot" tramite web, sarai in grado di elencare la cartella root ("/") del sistema.
Metodi di autenticazione
In ambienti ad alta sicurezza è pratica comune abilitare solo l'autenticazione basata su chiave o a due fattori anziché l'autenticazione basata su password semplice. Tuttavia, spesso i metodi di autenticazione più sicuri vengono abilitati senza disabilitare quelli più deboli. Un caso frequente è abilitare publickey
nella configurazione di openSSH e impostarlo come metodo predefinito senza disabilitare password
. Quindi, utilizzando la modalità dettagliata del client SSH, un attaccante può vedere che è abilitato un metodo più debole:
Per esempio, se è impostato un limite di fallimento dell'autenticazione e non hai mai la possibilità di raggiungere il metodo della password, puoi utilizzare l'opzione PreferredAuthentications
per forzare l'uso di questo metodo.
È necessario controllare la configurazione del server SSH per verificare che siano autorizzati solo i metodi previsti. Utilizzare la modalità dettagliata sul client può aiutare a vedere l'efficacia della configurazione.
File di configurazione
Fuzzing
References
Puoi trovare guide interessanti su come proteggere SSH in https://www.ssh-audit.com/hardening_guides.html
Consiglio per bug bounty: iscriviti a Intigriti, una piattaforma premium per bug bounty creata da hacker, per hacker! Unisciti a noi su https://go.intigriti.com/hacktricks oggi stesso e inizia a guadagnare taglie fino a $100,000!
Comandi Automatici di HackTricks
Last updated