22 - Pentesting SSH/SFTP
Ödül avı ipucu: Intigriti'ye kaydolun, hackerlar tarafından oluşturulan bir premium ödül avı platformu! Bugün https://go.intigriti.com/hacktricks adresinde bize katılın ve $100,000'a kadar ödüller kazanmaya başlayın!
Temel Bilgiler
SSH (Güvenli Kabuk veya Güvenli Soket Kabuğu), güvensiz bir ağ üzerinden bir bilgisayara güvenli bir bağlantı sağlayan bir ağ protokolüdür. Uzak sistemlere erişirken verilerin gizliliğini ve bütünlüğünü korumak için önemlidir.
Varsayılan bağlantı noktası: 22
SSH sunucuları:
openSSH – OpenBSD SSH, BSD, Linux dağıtımlarında ve Windows'ta Windows 10'dan beri bulunmaktadır
Dropbear – Düşük bellek ve işlemci kaynaklarına sahip ortamlar için SSH uygulaması, OpenWrt'te bulunmaktadır
PuTTY – Windows için SSH uygulaması, istemci genellikle kullanılsa da sunucunun kullanımı daha nadirdir
CopSSH – Windows için OpenSSH uygulaması
SSH kütüphaneleri (sunucu tarafını uygulayan):
wolfSSH – ANSI C'de yazılmış SSHv2 sunucu kütüphanesi ve gömülü, RTOS ve kaynak kısıtlı ortamlar için hedeflenmiştir
Apache MINA SSHD – Apache SSHD java kütüphanesi Apache MINA'ya dayanmaktadır
paramiko – Python SSHv2 protokol kütüphanesi
Numaralandırma
Banner Yakalama
Otomatik ssh denetimi
ssh-audit, ssh sunucusu ve istemci yapılandırmasının denetlenmesi için bir araçtır.
https://github.com/jtesta/ssh-audit, https://github.com/arthepsy/ssh-audit/ adresinden güncellenmiş bir çatallanmadır.
Özellikler:
SSH1 ve SSH2 protokolü sunucu desteği;
SSH istemci yapılandırmasını analiz etme;
banner'ı al, cihazı veya yazılımı tanı ve işletim sistemini algıla, sıkıştırmayı tespit et;
anahtar değişimini, anahtar anahtarını, şifreleme ve mesaj doğrulama kodu algoritmalarını topla;
algoritma bilgilerini çıktıla (mevcut olan, kaldırılan/devre dışı bırakılan, güvensiz/zayıf/eski vb.);
algoritma önerilerini çıktıla (tanınan yazılım sürümüne göre ekle veya kaldır);
güvenlik bilgilerini çıktıla (ilgili sorunlar, atanan CVE listesi vb.);
algoritma bilgilerine dayalı SSH sürümü uyumluluğunu analiz et;
OpenSSH, Dropbear SSH ve libssh'den tarihsel bilgiler;
Linux ve Windows üzerinde çalışır;
bağımlılıkları yoktur
Sunucunun Genel SSH Anahtarı
Asciinema'da nasıl yapıldığını izleyin
Zayıf Şifre Algoritmaları
Bu varsayılan olarak nmap tarafından keşfedilir. Ancak ayrıca sslcan veya sslyze kullanabilirsiniz.
Nmap betikleri
Shodan
ssh
Kaba kuvvetle kullanıcı adları, şifreler ve özel anahtarlar
Kullanıcı Adı Sıralaması
Bazı OpenSSH sürümlerinde zamanlama saldırısı yaparak kullanıcıları sıralayabilirsiniz. Bunu sömürmek için bir metasploit modülü kullanabilirsiniz:
Bazı yaygın ssh kimlik bilgileri burada ve burada ve aşağıda.
Özel Anahtar Kaba Kuvvet
Eğer kullanılabilecek bazı ssh özel anahtarlarını biliyorsanız... deneyelim. Nmap betiğini kullanabilirsiniz:
Veya MSF yardımcı modülü:
Bilinen kötü anahtarlar burada bulunabilir:
Zayıf SSH anahtarları / Debian tahmin edilebilir PRNG
Bazı sistemler, kriptografik materyal oluşturmak için kullanılan rastgele tohumda bilinen hatalara sahiptir. Bu, kaba kuvvet saldırısına maruz kalan dramatik bir anahtar alanı oluşturabilir. Zayıf PRNG etkilenen Debian sistemlerinde oluşturulan önceden oluşturulmuş anahtar setleri burada mevcuttur: g0tmi1k/debian-ssh.
Kurban makine için geçerli anahtarları aramak için buraya bakmalısınız.
Kerberos
crackmapexec ssh
protokolünü kullanarak --kerberos
seçeneğini kullanarak kerberos üzerinden kimlik doğrulaması yapabilir.
Daha fazla bilgi için crackmapexec ssh --help
komutunu çalıştırın.
Varsayılan Kimlik Bilgileri
Satıcı | Kullanıcı Adları | Şifreler |
APC | apc, device | apc |
Brocade | admin | admin123, password, brocade, fibranne |
Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler |
D-Link | admin, user | private, admin, user |
Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin |
EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc |
HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin |
Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 |
IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer |
Juniper | netscreen | netscreen |
NetApp | admin | netapp123 |
Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle |
VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default |
SSH-MitM
Eğer kurban olan kullanıcı ile SSH sunucusuna kullanıcı adı ve şifre ile bağlanacak olan kurban aynı yerel ağda ise, bu kimlik bilgilerini çalmak için MitM saldırısı gerçekleştirmeyi deneyebilirsiniz:
Saldırı yolu:
Trafik Yönlendirme: Saldırgan, kurbanın trafiğini kendi makinesine yönlendirir, böylece SSH sunucusuna bağlantı denemesini engeller.
Yakalama ve Kayıt: Saldırganın makinesi, kullanıcının giriş bilgilerini yakalayan bir proxy olarak hareket eder ve meşru SSH sunucusu gibi davranır.
Komut Yürütme ve Aktarımı: Son olarak, saldırganın sunucusu kullanıcının kimlik bilgilerini kaydeder, komutları gerçek SSH sunucusuna iletir, bunları yürütür ve sonuçları kullanıcıya geri gönderir, bu süreci sorunsuz ve meşru gösterir.
SSH MITM yukarıda açıklananı tam olarak yapar.
Gerçek MitM'yi gerçekleştirmek için ARP zehirlemesi, DNS zehirlemesi veya Ağ Zehirleme saldırıları bölümünde açıklanan diğer teknikleri kullanabilirsiniz.
SSH-Snake
Sistemlerde keşfedilen SSH özel anahtarlarını kullanarak ağda gezinmek istiyorsanız, her özel anahtarı yeni ana bilgisayarlar için her sistemde kullanarak SSH-Snake ihtiyacınız olan şeydir.
SSH-Snake aşağıdaki görevleri otomatik olarak ve tekrarlayarak gerçekleştirir:
Mevcut sistemdeki tüm SSH özel anahtarlarını bulur,
Mevcut sistemde, özel anahtarların kabul edilebileceği tüm ana bilgisayarları veya hedefleri (kullanıcı@ana bilgisayar) bulur,
Keşfedilen tüm özel anahtarları kullanarak tüm hedeflere SSH denemesi yapar,
Bir hedefe başarılı bir şekilde bağlanıldığında, bağlanılan sisteme adımları tekrarlar: #1 - #4.
Tamamen kendi kendini çoğaltan ve kendi kendini yayabilen - ve tamamen dosyasızdır.
Yapılandırma Yanlışlıkları
Root girişi
SSH sunucularının genellikle varsayılan olarak kök kullanıcı girişine izin vermesi yaygındır, bu da ciddi bir güvenlik riski oluşturur. Kök girişini devre dışı bırakmak, sunucuyu güvence altına almanın kritik bir adımıdır. Bu değişikliği yaparak yetkisiz yönetici ayrıcalıklarıyla erişim ve kaba kuvvet saldırıları engellenebilir.
OpenSSH'de Kök Girişini Devre Dışı Bırakmak İçin:
SSH yapılandırma dosyasını düzenleyin:
sudoedit /etc/ssh/sshd_config
Ayarı değiştirin
#PermitRootLogin yes
denPermitRootLogin no
'ya.Yapılandırmayı yeniden yükleyin:
sudo systemctl daemon-reload
Değişiklikleri uygulamak için SSH sunucusunu yeniden başlatın:
sudo systemctl restart sshd
SFTP Kaba Kuvvet
SFTP komut yürütme
SFTP kurulumlarında yaygın bir hata, yöneticilerin kullanıcıların uzak kabuk erişimini etkinleştirmeden dosya değiş tokuşu yapmasını amaçladığı yerlerde meydana gelir. Kullanıcıları etkileşimsiz kabuklarla (örneğin, /usr/bin/nologin
) ayarlamalarına rağmen ve onları belirli bir dizine sınırlamalarına rağmen, bir güvenlik açığı kalır. Kullanıcılar, belirlenen etkileşimsiz kabukları devralmadan hemen sonra bir komutun (örneğin, /bin/bash
) yürütülmesini isteyerek bu kısıtlamaları atlayabilir. Bu, yetkisiz komut yürütme için izin verir ve amaçlanan güvenlik önlemlerini zayıflatır.
Aşağıda, kullanıcı noraj
için güvenli SFTP yapılandırmasının bir örneği bulunmaktadır (/etc/ssh/sshd_config
- openSSH):
Bu yapılandırma yalnızca SFTP'yi izin verecek şekilde ayarlanmıştır: başlangıç komutunu zorlayarak kabuk erişimini devre dışı bırakma ve TTY erişimini devre dışı bırakma, ayrıca tüm türde port yönlendirmeyi veya tünelleme işlemlerini devre dışı bırakma.
SFTP Tünellemesi
Bir SFTP sunucusuna erişiminiz varsa, örneğin yaygın port yönlendirmeyi kullanarak trafiğinizi bu sunucu üzerinden tünelleyebilirsiniz:
SFTP Symlink
SFTP'nin "symlink" komutu bulunmaktadır. Bu nedenle, bir klasörde yazma izinleriniz varsa, başka klasörler/dosyaların symlink'lerini oluşturabilirsiniz. Muhtemelen bir chroot içinde sıkışmış durumdasınız, bu nedenle bu sizin için özellikle faydalı olmayacaktır, ancak oluşturulan symlink'e bir no-chroot hizmetinden erişebiliyorsanız (örneğin, web üzerinden symlink'e erişebiliyorsanız), symlink'ler aracılığıyla dosyaları web üzerinden açabilirsiniz.
Örneğin, yeni bir dosyadan "_froot_" adında bir symlink oluşturmak için:
Kimlik doğrulama yöntemleri
Yüksek güvenlik ortamlarında, genellikle basit faktör şifre tabanlı kimlik doğrulaması yerine yalnızca anahtar tabanlı veya iki faktörlü kimlik doğrulamasını etkinleştirmek yaygın bir uygulamadır. Ancak genellikle daha güçlü kimlik doğrulama yöntemleri etkinleştirilirken daha zayıf olanların devre dışı bırakılmadığı görülür. Sık rastlanan bir durum, openSSH yapılandırmasında publickey
'i etkinleştirmek ve varsayılan yöntem olarak ayarlamak ancak password
'ü devre dışı bırakmamaktır. Bu nedenle, bir saldırgan, SSH istemcisinin ayrıntılı modunu kullanarak daha zayıf bir yöntemin etkinleştirildiğini görebilir:
Örneğin, bir kimlik doğrulama başarısızlık sınırı belirlenmişse ve şifre yöntemine ulaşma şansınız hiç olmazsa, PreferredAuthentications
seçeneğini kullanarak bu yöntemi kullanmaya zorlayabilirsiniz.
Yapılandırma dosyaları
SSH sunucusu yapılandırmasını incelemek, yalnızca beklenen yöntemlerin yetkilendirildiğini kontrol etmek için gereklidir. İstemci üzerinde ayrıntılı modun kullanılması, yapılandırmanın etkinliğini görmeye yardımcı olabilir.
Fuzzing
Referanslar
SSH'yi nasıl güçlendireceğinize dair ilginç kılavuzlar https://www.ssh-audit.com/hardening_guides.html adresinde bulunabilir.
Hata ödülü ipucu: Intigriti'ye kaydolun, hackerlar tarafından oluşturulan bir premium hata ödülü platformuna! Bugün bize https://go.intigriti.com/hacktricks adresinden katılın ve 100.000 $'a kadar ödüller kazanmaya başlayın!
HackTricks Otomatik Komutları
Last updated