22 - Pentesting SSH/SFTP
Підказка щодо багів у винагороду: зареєструйтеся на Intigriti, преміальній платформі для багів, створеній хакерами для хакерів! Приєднуйтесь до нас на https://go.intigriti.com/hacktricks сьогодні та почніть заробляти винагороди до $100,000!
Основна інформація
SSH (Secure Shell або Secure Socket Shell) - це мережевий протокол, який забезпечує безпечне підключення до комп'ютера через незахищену мережу. Це важливо для збереження конфіденційності та цілісності даних при доступі до віддалених систем.
Порт за замовчуванням: 22
SSH сервери:
openSSH – OpenBSD SSH, встановлений в BSD, дистрибутивах Linux та Windows починаючи з Windows 10
Dropbear – реалізація SSH для середовищ з обмеженими ресурсами пам'яті та процесора, встановлена в OpenWrt
PuTTY – реалізація SSH для Windows, клієнт часто використовується, але використання сервера рідше
CopSSH – реалізація OpenSSH для Windows
Бібліотеки SSH (реалізація на стороні сервера):
wolfSSH – бібліотека сервера SSHv2, написана на мові ANSI C та призначена для вбудованих систем, операційних систем реального часу та ресурсозберігаючих середовищ
Apache MINA SSHD – бібліотека Apache SSHD java, що базується на Apache MINA
paramiko – бібліотека протоколу Python SSHv2
Перелічення
Захоплення банера
Автоматизована перевірка ssh-audit
ssh-audit - це інструмент для аудиту конфігурації сервера та клієнта ssh.
https://github.com/jtesta/ssh-audit є оновленою версією від https://github.com/arthepsy/ssh-audit/
Особливості:
Підтримка сервера протоколу SSH1 та SSH2;
аналіз конфігурації клієнта SSH;
отримання банера, визначення пристрою або програмного забезпечення та операційної системи, виявлення стиснення;
збір алгоритмів обміну ключами, хост-ключів, шифрування та кодів аутентифікації повідомлень;
виведення інформації про алгоритми (доступні з моменту, видалені/вимкнені, небезпечні/слабкі/старі);
рекомендації щодо алгоритмів (додавання або видалення на основі визнаної версії програмного забезпечення);
виведення інформації про безпеку (пов'язані проблеми, призначений список CVE тощо);
аналіз сумісності версій SSH на основі інформації про алгоритми;
історична інформація від OpenSSH, Dropbear SSH та libssh;
працює на Linux та Windows;
немає залежностей
Публічний ключ SSH сервера
Слабкі алгоритми шифрування
Це виявляється за замовчуванням за допомогою nmap. Але ви також можете використовувати sslscan або sslyze.
Сценарії Nmap
Shodan
ssh
Brute force usernames, passwords and private keys
Перелік імен користувачів
У деяких версіях OpenSSH ви можете здійснити атаку з використанням часу для переліку користувачів. Ви можете використовувати модуль metasploit для експлуатації цього:
Деякі загальні ssh облікові дані тут та тут та нижче.
Приватний ключ Brute Force
Якщо ви знаєте деякі ssh приватні ключі, які можна використовувати... спробуйте це. Ви можете використовувати nmap скрипт:
Або MSF допоміжний модуль:
Або скористайтеся ssh-keybrute.py
(нативний python3, легкий та має увімкнені застарілі алгоритми): snowdroppe/ssh-keybrute.
Відомі погані ключі можна знайти тут:
Слабкі SSH ключі / Передбачуваний PRNG Debian
Деякі системи мають відомі дефекти в випадковому насінні, яке використовується для генерації криптографічного матеріалу. Це може призвести до драматичного зменшення простору ключів, який можна перебрати. Передгенеровані набори ключів, згенеровані на системах Debian, які постраждали від слабкого PRNG, доступні тут: g0tmi1k/debian-ssh.
Вам слід переглянути це, щоб шукати дійсні ключі для машини жертви.
Kerberos
crackmapexec, використовуючи протокол ssh
, може використовувати опцію --kerberos
для аутентифікації через kerberos.
Для отримання додаткової інформації запустіть crackmapexec ssh --help
.
За замовчуванням Логіни та Паролі
Виробник | Імена користувачів | Паролі |
APC | apc, device | apc |
Brocade | admin | admin123, password, brocade, fibranne |
Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler |
D-Link | admin, user | private, admin, user |
Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin |
EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc |
HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin |
Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 |
IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer |
Juniper | netscreen | netscreen |
NetApp | admin | netapp123 |
Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle |
VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default |
SSH-MitM
Якщо ви знаходитесь в локальній мережі як жертва, яка збирається підключитися до сервера SSH за допомогою імені користувача та пароля, ви можете спробувати виконати атаку MitM, щоб вкрасти ці облікові дані:
Шлях атаки:
Перенаправлення трафіку: Атакуючий відхиляє трафік жертви на свій комп'ютер, ефективно перехоплюючи спробу підключення до сервера SSH.
Перехоплення та Логування: Комп'ютер атакуючого діє як проксі, захоплюючи дані входу користувача, претендуючи на легітимний сервер SSH.
Виконання команд та Реле: Нарешті, сервер атакуючого логує облікові дані користувача, пересилає команди на справжній сервер SSH, виконує їх та надсилає результати назад користувачеві, зроблячи процес здається безперервним та легітимним.
SSH MITM робить точно те, що описано вище.
Для захоплення виконання фактичного MitM ви можете використовувати техніки, такі як ARP-підроблення, DNS-підроблення або інші, описані в Атаках підроблення мережі.
SSH-Snake
Якщо ви хочете пройти мережу, використовуючи виявлені приватні ключі SSH на системах, використовуючи кожен приватний ключ на кожній системі для нових хостів, тоді SSH-Snake - це те, що вам потрібно.
SSH-Snake автоматично та рекурсивно виконує наступні завдання:
На поточній системі знаходить будь-які приватні ключі SSH,
На поточній системі знаходить будь-які хости або призначення (користувач@хост), на які можуть бути прийняті приватні ключі,
Намагається підключитися до всіх призначень, використовуючи всі виявлені приватні ключі,
Якщо підключення до призначення вдалося, повторює кроки #1 - #4 на підключеній системі.
Це повністю самореплікуюче та самопоширюючеся - і цілком безфайлове.
Неправильні налаштування конфігурації
Логін root
Зазвичай SSH-сервери дозволяють вхід користувачу root за замовчуванням, що становить значний ризик для безпеки. Вимкнення входу root є критичним кроком у забезпеченні безпеки сервера. Несанкціонований доступ з адміністративними привілеями та атаки методом грубої сили можна пом'якшити, внесши ці зміни.
Для вимкнення входу root в OpenSSH:
Редагування файлу конфігурації SSH за допомогою:
sudoedit /etc/ssh/sshd_config
Змініть параметр з
#PermitRootLogin yes
наPermitRootLogin no
.Перезавантажте конфігурацію за допомогою:
sudo systemctl daemon-reload
Перезапустіть сервер SSH, щоб застосувати зміни:
sudo systemctl restart sshd
Груба сила SFTP
Виконання команд SFTP
Є поширена помилка з налаштуваннями SFTP, коли адміністратори мають на увазі, що користувачі можуть обмінюватися файлами без увімкнення віддаленого доступу до оболонки. Незважаючи на те, що користувачі мають нінтерактивні оболонки (наприклад, /usr/bin/nologin
) та обмеження на певний каталог, залишається безпекова дірка. Користувачі можуть обійти ці обмеження, запитуючи виконання команди (наприклад, /bin/bash
) безпосередньо після входу, перш ніж їх призначена нінтерактивна оболонка візьме владу. Це дозволяє несанкціоноване виконання команд, підірвуючи задумані заходи безпеки.
Ось приклад безпечної конфігурації SFTP (/etc/ssh/sshd_config
- openSSH) для користувача noraj
:
Ця конфігурація дозволить лише SFTP: вимкнення доступу до оболонки шляхом примусового запуску команди та вимкнення доступу до TTY, а також вимкнення всіх видів перенаправлення портів або тунелювання.
Тунелювання SFTP
Якщо у вас є доступ до сервера SFTP, ви також можете тунелювати свій трафік через нього, наприклад, використовуючи звичайне перенаправлення портів:
SFTP Символічне посилання
SFTP має команду "symlink". Тому, якщо у вас є права на запис у деякій папці, ви можете створити символічні посилання на інші папки/файли. Оскільки ви, ймовірно, застрягли всередині chroot, це не буде особливо корисним для вас, але, якщо ви можете отримати доступ до створеного символічного посилання з сервісу без chroot (наприклад, якщо ви можете отримати доступ до символічного посилання через веб), ви можете відкрити файли, на які вказує символічне посилання через веб.
Наприклад, щоб створити символічне посилання на новий файл "froot" на "/":
Якщо ви зможете отримати доступ до файлу "froot" через веб, ви зможете переглянути кореневу ("/") теку системи.
Методи аутентифікації
У високозахищених середовищах загальною практикою є ввімкнення лише аутентифікації на основі ключів або двофакторної аутентифікації замість простої аутентифікації на основі пароля. Але часто більш міцні методи аутентифікації вмикаються без вимкнення слабших. Частим випадком є ввімкнення publickey
у конфігурації openSSH та встановлення його як методу за замовчуванням, але не вимикання password
. Таким чином, використовуючи режим розгорнутого виводу клієнта SSH, зловмисник може побачити, що ввімкнено слабший метод:
Наприклад, якщо встановлено обмеження на кількість невдалих спроб аутентифікації і ви ніколи не маєте можливості досягти методу введення пароля, ви можете використати опцію PreferredAuthentications
, щоб змусити використовувати цей метод.
Перегляд конфігурації сервера SSH необхідний для перевірки того, що дозволені лише очікувані методи. Використання режиму verbose на клієнті може допомогти побачити ефективність конфігурації.
Файли конфігурації
Fuzzing
References
You can find interesting guides on how to harden SSH in https://www.ssh-audit.com/hardening_guides.html
Підказка щодо багів: зареєструйтесь на Intigriti, преміальній платформі для пошуку багів, створеній хакерами для хакерів! Приєднуйтесь до нас на https://go.intigriti.com/hacktricks сьогодні, і почніть заробляти винагороди до $100,000!
Автоматичні команди HackTricks
Last updated