22 - Pentesting SSH/SFTP
Wskazówka dotycząca nagrody za błąd: Zarejestruj się na platformie Intigriti, premium platformie nagród za błędy stworzonej przez hakerów, dla hakerów! Dołącz do nas na https://go.intigriti.com/hacktricks już dziś i zacznij zarabiać nagrody aż do $100,000!
Podstawowe informacje
SSH (Secure Shell lub Secure Socket Shell) to protokół sieciowy umożliwiający bezpieczne połączenie z komputerem przez niezabezpieczoną sieć. Jest niezbędny do zachowania poufności i integralności danych podczas dostępu do systemów zdalnych.
Domyślny port: 22
Serwery SSH:
openSSH – OpenBSD SSH, dostarczany w dystrybucjach BSD, Linuxa i Windows od wersji Windows 10
Dropbear – Implementacja SSH dla środowisk o niskiej pamięci i zasobach procesora, dostarczana w OpenWrt
PuTTY – Implementacja SSH dla Windows, klient jest powszechnie używany, ale użycie serwera jest rzadsze
CopSSH – Implementacja OpenSSH dla Windows
Biblioteki SSH (implementujące po stronie serwera):
wolfSSH – Biblioteka serwera SSHv2 napisana w ANSI C, przeznaczona dla wbudowanych, systemów operacyjnych czasu rzeczywistego i środowisk o ograniczonych zasobach
Apache MINA SSHD – Biblioteka SSHD w języku Java Apache oparta na Apache MINA
paramiko – Biblioteka protokołu SSHv2 w Pythonie
Wyliczanie
Pobieranie banera
Zautomatyzowany audyt ssh
ssh-audit to narzędzie do audytu konfiguracji serwera i klienta ssh.
https://github.com/jtesta/ssh-audit to zaktualizowana wersja od https://github.com/arthepsy/ssh-audit/
Funkcje:
Obsługa serwera protokołu SSH1 i SSH2;
analiza konfiguracji klienta SSH;
pobieranie banera, rozpoznawanie urządzenia lub oprogramowania oraz systemu operacyjnego, wykrywanie kompresji;
zbieranie algorytmów wymiany klucza, klucza hosta, szyfrowania i kodu uwierzytelniania wiadomości;
wyprowadzanie informacji o algorytmach (dostępne od, usunięte/wyłączone, niebezpieczne/słabe/przestarzałe, itp.);
wyprowadzanie zaleceń dotyczących algorytmów (dodawanie lub usuwanie na podstawie rozpoznanego numeru wersji oprogramowania);
wyprowadzanie informacji o bezpieczeństwie (powiązane problemy, przypisana lista CVE, itp.);
analiza zgodności wersji SSH na podstawie informacji o algorytmach;
informacje historyczne z OpenSSH, Dropbear SSH i libssh;
działa na systemach Linux i Windows;
brak zależności
Publiczny klucz SSH serwera
Obejrzyj to w akcji (Asciinema)
Słabe algorytmy szyfrowania
To jest domyślnie odkrywane przez nmap. Ale można także użyć sslcan lub sslyze.
Skrypty Nmap
Shodan
ssh
Brute force usernames, passwords and private keys
Wyliczanie nazw użytkowników
W niektórych wersjach OpenSSH można przeprowadzić atak czasowy w celu wyliczenia użytkowników. Można skorzystać z modułu metasploit w celu wykorzystania tego:
Niektóre powszechne dane uwierzytelniające ssh tutaj i tutaj oraz poniżej.
Atak siłowy na klucz prywatny
Jeśli znasz jakieś klucze prywatne ssh, które mogą być użyte... spróbujmy tego. Możesz użyć skryptu nmap:
Lub moduł pomocniczy MSF:
Znane złe klucze można znaleźć tutaj:
Słabe klucze SSH / Przewidywalny generator liczb losowych w Debianie
Niektóre systemy mają znane wady w ziarnie losowym używanym do generowania materiałów kryptograficznych. Może to skutkować dramatycznym zmniejszeniem przestrzeni kluczy, które można złamać metodą bruteforce. Zestawy wstępnie wygenerowanych kluczy wygenerowanych na systemach Debian dotkniętych słabym PRNG są dostępne tutaj: g0tmi1k/debian-ssh.
Należy sprawdzić tutaj, aby wyszukać prawidłowe klucze dla maszyny ofiary.
Kerberos
crackmapexec używając protokołu ssh
może użyć opcji --kerberos
do uwierzytelniania za pomocą Kerberosa.
Aby uzyskać więcej informacji, uruchom crackmapexec ssh --help
.
Domyślne dane uwierzytelniające
Producent | Nazwy użytkowników | Hasła |
APC | apc, device | apc |
Brocade | admin | admin123, password, brocade, fibranne |
Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler |
D-Link | admin, user | private, admin, user |
Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin |
EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc |
HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin |
Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 |
IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer |
Juniper | netscreen | netscreen |
NetApp | admin | netapp123 |
Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle |
VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default |
SSH-MitM
Jeśli znajdujesz się w sieci lokalnej ofiary, która ma połączyć się z serwerem SSH za pomocą nazwy użytkownika i hasła, możesz spróbować przeprowadzić atak typu MitM, aby ukraść te dane uwierzytelniające:
Ścieżka ataku:
Przekierowanie ruchu: Atakujący przekierowuje ruch ofiary na swoją maszynę, efektywnie przechwytując próbę połączenia z serwerem SSH.
Przechwycenie i logowanie: Maszyna atakującego działa jako proxy, przechwytując dane logowania użytkownika, udając prawidłowy serwer SSH.
Wykonanie poleceń i przekazywanie: W końcu serwer atakującego loguje dane uwierzytelniające użytkownika, przekazuje polecenia do rzeczywistego serwera SSH, wykonuje je i przesyła wyniki z powrotem do użytkownika, sprawiając, że proces wydaje się być płynny i legalny.
SSH MITM robi dokładnie to, co opisano powyżej.
Aby przechwycić i przeprowadzić rzeczywisty atak typu MitM, można użyć technik takich jak ARP spoofing, DNS spoofing lub inne opisane w Atakach na podszywanie się w sieci.
SSH-Snake
Jeśli chcesz przemierzać sieć, korzystając z odkrytych prywatnych kluczy SSH na systemach, wykorzystując każdy klucz prywatny na każdym systemie do nowych hostów, to SSH-Snake jest tym, czego potrzebujesz.
SSH-Snake automatycznie i rekurencyjnie wykonuje następujące zadania:
Na bieżącym systemie znajduje wszystkie klucze prywatne SSH,
Na bieżącym systemie znajduje wszystkie hosty lub miejsca docelowe (użytkownik@host), które mogą zaakceptować klucze prywatne,
Próbuje połączyć się przez SSH ze wszystkimi miejscami docelowymi, używając wszystkich odkrytych kluczy prywatnych,
Jeśli połączenie z miejscem docelowym powiedzie się, powtarza kroki #1 - #4 na połączonym systemie.
Jest to w pełni samoreplikujące się i samopropagujące -- oraz całkowicie bezplikowe.
Błędy konfiguracji SSH
Logowanie jako root
Często serwery SSH pozwalają na logowanie użytkownika root domyślnie, co stanowi znaczne ryzyko bezpieczeństwa. Wyłączenie logowania jako root jest kluczowym krokiem w zabezpieczaniu serwera. Nieuprawniony dostęp z uprawnieniami administracyjnymi oraz ataki bruteforce można zminimalizować, dokonując tej zmiany.
Aby wyłączyć logowanie jako root w OpenSSH:
Edytuj plik konfiguracyjny SSH za pomocą:
sudoedit /etc/ssh/sshd_config
Zmień ustawienie z
#PermitRootLogin yes
naPermitRootLogin no
.Przeładuj konfigurację za pomocą:
sudo systemctl daemon-reload
Uruchom ponownie serwer SSH, aby zastosować zmiany:
sudo systemctl restart sshd
Atak bruteforce SFTP
Wykonanie poleceń SFTP
Często występuje powszechne przeoczenie w konfiguracjach SFTP, gdzie administratorzy zamierzają, aby użytkownicy wymieniali pliki bez włączania zdalnego dostępu do powłoki. Pomimo ustawienia użytkowników z nieaktywnymi powłokami (np. /usr/bin/nologin
) i ograniczenia ich do określonego katalogu, pozostaje luka w zabezpieczeniach. Użytkownicy mogą ominąć te ograniczenia, żądając wykonania polecenia (np. /bin/bash
) natychmiast po zalogowaniu, zanim przejmie kontrolę ich przeznaczona nieaktywna powłoka. Pozwala to na nieautoryzowane wykonanie poleceń, podważając zamierzone środki bezpieczeństwa.
Oto przykład zabezpieczonej konfiguracji SFTP (/etc/ssh/sshd_config
- openSSH) dla użytkownika noraj
:
To konfiguracja pozwoli tylko na SFTP: wyłączenie dostępu do powłoki poprzez wymuszenie uruchomienia polecenia start i wyłączenie dostępu do TTY, ale także wyłączenie wszystkich rodzajów przekierowywania portów lub tunelowania.
Tunelowanie SFTP
Jeśli masz dostęp do serwera SFTP, możesz również przekierować swój ruch przez niego, na przykład korzystając z powszechnego przekierowywania portów:
SFTP Symlink
SFTP posiada polecenie "symlink". Dlatego, jeśli masz prawa do zapisu w pewnym folderze, możesz tworzyć symlinki do innych folderów/plików. Ponieważ prawdopodobnie jesteś uwięziony w chroocie, to nie będzie to specjalnie przydatne dla Ciebie, ale jeśli możesz uzyskać dostęp do utworzonego symlinku z usługi bez chroota (na przykład, jeśli możesz uzyskać dostęp do symlinku z sieci), możesz otworzyć pliki poprzez sieć.
Na przykład, aby utworzyć symlink od nowego pliku "froot" do "/":
Jeśli możesz uzyskać dostęp do pliku "froot" za pośrednictwem sieci, będziesz mógł wyświetlić zawartość folderu root ("/") systemu.
Metody uwierzytelniania
W środowiskach o wysokim poziomie bezpieczeństwa powszechną praktyką jest włączanie tylko uwierzytelniania opartego na kluczu lub uwierzytelniania dwuetapowego, a nie opartego na prostym haśle. Jednak często silniejsze metody uwierzytelniania są włączane bez wyłączania słabszych. Częstym przypadkiem jest włączenie publickey
w konfiguracji openSSH i ustawienie go jako domyślną metodę, ale nie wyłączenie password
. Dlatego, korzystając z trybu verbose klienta SSH, atakujący może zobaczyć, że włączona jest słabsza metoda:
Na przykład, jeśli ustawiono limit niepowodzeń uwierzytelniania i nigdy nie masz szansy dotrzeć do metody hasła, możesz użyć opcji PreferredAuthentications
, aby wymusić użycie tej metody.
Pliki konfiguracyjne
Fuzzing
References
Możesz znaleźć interesujące przewodniki dotyczące zabezpieczania SSH pod adresem https://www.ssh-audit.com/hardening_guides.html
Wskazówka dotycząca nagrody za błąd: Zarejestruj się na platformie Intigriti, premium platformie nagród za błędy stworzonej przez hakerów, dla hakerów! Dołącz do nas na https://go.intigriti.com/hacktricks już dziś i zacznij zarabiać nagrody aż do $100,000!
HackTricks Automatic Commands
Last updated