hacktricks/network-services-pentesting/pentesting-ssh.md

# 22 - Testowanie penetracyjne SSH/SFTP

<details>

<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>

<figure><img src="../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>

**Wskazówka dotycząca nagrody za błąd**: **Zarejestruj się** na platformie **Intigriti**, premium **platformie nagród za błędy stworzonej przez hakerów, dla hakerów**! Dołącz do nas na [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) już dziś i zacznij zarabiać nagrody aż do **$100,000**!

{% embed url="https://go.intigriti.com/hacktricks" %}

## Podstawowe informacje

**SSH (Secure Shell lub Secure Socket Shell)** to protokół sieciowy umożliwiający bezpieczne połączenie z komputerem przez niezabezpieczoną sieć. Jest niezbędny do zachowania poufności i integralności danych podczas dostępu do systemów zdalnych.

**Domyślny port:** 22
```
22/tcp open  ssh     syn-ack
```
**Serwery SSH:**

* [openSSH](http://www.openssh.org) – OpenBSD SSH, dostarczany w dystrybucjach BSD, Linuxa i Windows od wersji Windows 10
* [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) – Implementacja SSH dla środowisk o niskiej pamięci i zasobach procesora, dostarczana w OpenWrt
* [PuTTY](https://www.chiark.greenend.org.uk/\~sgtatham/putty/) – Implementacja SSH dla Windows, klient jest powszechnie używany, ale użycie serwera jest rzadsze
* [CopSSH](https://www.itefix.net/copssh) – Implementacja OpenSSH dla Windows

**Biblioteki SSH (implementujące po stronie serwera):**

* [libssh](https://www.libssh.org) – Wieloplatformowa biblioteka w języku C implementująca protokół SSHv2 z wiązaniami w [Pythonie](https://github.com/ParallelSSH/ssh-python), [Perlu](https://github.com/garnier-quentin/perl-libssh/) i [R](https://github.com/ropensci/ssh); jest używana przez KDE do sftp i przez GitHub do infrastruktury git SSH
* [wolfSSH](https://www.wolfssl.com/products/wolfssh/) – Biblioteka serwera SSHv2 napisana w ANSI C, przeznaczona dla wbudowanych, systemów operacyjnych czasu rzeczywistego i środowisk o ograniczonych zasobach
* [Apache MINA SSHD](https://mina.apache.org/sshd-project/index.html) – Biblioteka SSHD w języku Java Apache oparta na Apache MINA
* [paramiko](https://github.com/paramiko/paramiko) – Biblioteka protokołu SSHv2 w Pythonie

## Wyliczanie

### Pobieranie banera
```bash
nc -vn <IP> 22
```
### Zautomatyzowany audyt ssh

ssh-audit to narzędzie do audytu konfiguracji serwera i klienta ssh.

[https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit) to zaktualizowana wersja od [https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/)

**Funkcje:**

* Obsługa serwera protokołu SSH1 i SSH2;
* analiza konfiguracji klienta SSH;
* pobieranie banera, rozpoznawanie urządzenia lub oprogramowania oraz systemu operacyjnego, wykrywanie kompresji;
* zbieranie algorytmów wymiany klucza, klucza hosta, szyfrowania i kodu uwierzytelniania wiadomości;
* wyprowadzanie informacji o algorytmach (dostępne od, usunięte/wyłączone, niebezpieczne/słabe/przestarzałe, itp.);
* wyprowadzanie zaleceń dotyczących algorytmów (dodawanie lub usuwanie na podstawie rozpoznanego numeru wersji oprogramowania);
* wyprowadzanie informacji o bezpieczeństwie (powiązane problemy, przypisana lista CVE, itp.);
* analiza zgodności wersji SSH na podstawie informacji o algorytmach;
* informacje historyczne z OpenSSH, Dropbear SSH i libssh;
* działa na systemach Linux i Windows;
* brak zależności
```bash
usage: ssh-audit.py [-1246pbcnjvlt] <host>

-1,  --ssh1             force ssh version 1 only
-2,  --ssh2             force ssh version 2 only
-4,  --ipv4             enable IPv4 (order of precedence)
-6,  --ipv6             enable IPv6 (order of precedence)
-p,  --port=<port>      port to connect
-b,  --batch            batch output
-c,  --client-audit     starts a server on port 2222 to audit client
software config (use -p to change port;
use -t to change timeout)
-n,  --no-colors        disable colors
-j,  --json             JSON output
-v,  --verbose          verbose output
-l,  --level=<level>    minimum output level (info|warn|fail)
-t,  --timeout=<secs>   timeout (in seconds) for connection and reading
(default: 5)
$ python3 ssh-audit <IP>
```
### Publiczny klucz SSH serwera

[Obejrzyj to w akcji (Asciinema)](https://asciinema.org/a/96ejZKxpbuupTK9j7h8BdClzp)
```bash
ssh-keyscan -t rsa <IP> -p <PORT>
```
### Słabe algorytmy szyfrowania

To jest domyślnie odkrywane przez **nmap**. Ale można także użyć **sslcan** lub **sslyze**.

### Skrypty Nmap
```bash
nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods
```
### Shodan

* `ssh`

## Brute force usernames, passwords and private keys

### Wyliczanie nazw użytkowników

W niektórych wersjach OpenSSH można przeprowadzić atak czasowy w celu wyliczenia użytkowników. Można skorzystać z modułu metasploit w celu wykorzystania tego:
```
msf> use scanner/ssh/ssh_enumusers
```
### [Atak siłowy](../generic-methodologies-and-resources/brute-force.md#ssh)

Niektóre powszechne dane uwierzytelniające ssh [tutaj](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt) i [tutaj](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt) oraz poniżej.

### Atak siłowy na klucz prywatny

Jeśli znasz jakieś klucze prywatne ssh, które mogą być użyte... spróbujmy tego. Możesz użyć skryptu nmap:
```
https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html
```
Lub moduł pomocniczy MSF:
```
msf> use scanner/ssh/ssh_identify_pubkeys
```
### Znane złe klucze można znaleźć tutaj:

{% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %}

### Słabe klucze SSH / Przewidywalny generator liczb losowych w Debianie

Niektóre systemy mają znane wady w ziarnie losowym używanym do generowania materiałów kryptograficznych. Może to skutkować dramatycznym zmniejszeniem przestrzeni kluczy, które można złamać metodą bruteforce. Zestawy wstępnie wygenerowanych kluczy wygenerowanych na systemach Debian dotkniętych słabym PRNG są dostępne tutaj: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh).

Należy sprawdzić tutaj, aby wyszukać prawidłowe klucze dla maszyny ofiary.

### Kerberos

**crackmapexec** używając protokołu `ssh` może użyć opcji `--kerberos` do **uwierzytelniania za pomocą Kerberosa**.\
Aby uzyskać więcej informacji, uruchom `crackmapexec ssh --help`.

## Domyślne dane uwierzytelniające

| **Producent** | **Nazwy użytkowników**                                                                                      | **Hasła**                                                                                                                                                                                                  |
| ------------- | ----------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| APC           | apc, device                                                                                                 | apc                                                                                                                                                                                                        |
| Brocade       | admin                                                                                                       | admin123, password, brocade, fibranne                                                                                                                                                                      |
| Cisco         | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin                                           | admin, Admin123, default, password, secur4u, cisco, Cisco, \_Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change\_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
| Citrix        | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin                                                            | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler                                                                                                                       |
| D-Link        | admin, user                                                                                                 | private, admin, user                                                                                                                                                                                       |
| Dell          | root, user1, admin, vkernel, cli                                                                            | calvin, 123456, password, vkernel, Stor@ge!, admin                                                                                                                                                         |
| EMC           | admin, root, sysadmin                                                                                       | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc                                                                                                                                              |
| HP/3Com       | admin, root, vcx, app, spvar, manage, hpsupport, opc\_op                                                    | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC\_op, !manage, !admin                                                   |
| Huawei        | admin, root                                                                                                 | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123                                                                                             |
| IBM           | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer                                                                                                                               |
| Juniper       | netscreen                                                                                                   | netscreen                                                                                                                                                                                                  |
| NetApp        | admin                                                                                                       | netapp123                                                                                                                                                                                                  |
| Oracle        | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user                                           | changeme, ilom-admin, ilom-operator, welcome1, oracle                                                                                                                                                      |
| VMware        | vi-admin, root, hqadmin, vmware, admin                                                                      | vmware, vmw@re, hqadmin, default                                                                                                                                                                           |

## SSH-MitM

Jeśli znajdujesz się w sieci lokalnej ofiary, która ma połączyć się z serwerem SSH za pomocą nazwy użytkownika i hasła, możesz spróbować **przeprowadzić atak typu MitM, aby ukraść te dane uwierzytelniające:**

**Ścieżka ataku:**

* **Przekierowanie ruchu:** Atakujący **przekierowuje** ruch ofiary na swoją maszynę, efektywnie **przechwytując** próbę połączenia z serwerem SSH.
* **Przechwycenie i logowanie:** Maszyna atakującego działa jako **proxy**, **przechwytując** dane logowania użytkownika, udając prawidłowy serwer SSH.
* **Wykonanie poleceń i przekazywanie:** W końcu serwer atakującego **loguje dane uwierzytelniające użytkownika**, **przekazuje polecenia** do rzeczywistego serwera SSH, **wykonuje** je i **przesyła wyniki** z powrotem do użytkownika, sprawiając, że proces wydaje się być płynny i legalny.

[**SSH MITM**](https://github.com/jtesta/ssh-mitm) robi dokładnie to, co opisano powyżej.

Aby przechwycić i przeprowadzić rzeczywisty atak typu MitM, można użyć technik takich jak ARP spoofing, DNS spoofing lub inne opisane w [**Atakach na podszywanie się w sieci**](../generic-methodologies-and-resources/pentesting-network/#spoofing).

## SSH-Snake

Jeśli chcesz przemierzać sieć, korzystając z odkrytych prywatnych kluczy SSH na systemach, wykorzystując każdy klucz prywatny na każdym systemie do nowych hostów, to [**SSH-Snake**](https://github.com/MegaManSec/SSH-Snake) jest tym, czego potrzebujesz.

SSH-Snake automatycznie i rekurencyjnie wykonuje następujące zadania:

1. Na bieżącym systemie znajduje wszystkie klucze prywatne SSH,
2. Na bieżącym systemie znajduje wszystkie hosty lub miejsca docelowe (użytkownik@host), które mogą zaakceptować klucze prywatne,
3. Próbuje połączyć się przez SSH ze wszystkimi miejscami docelowymi, używając wszystkich odkrytych kluczy prywatnych,
4. Jeśli połączenie z miejscem docelowym powiedzie się, powtarza kroki #1 - #4 na połączonym systemie.

Jest to w pełni samoreplikujące się i samopropagujące -- oraz całkowicie bezplikowe.

## Błędy konfiguracji SSH

### Logowanie jako root

Często serwery SSH pozwalają na logowanie użytkownika root domyślnie, co stanowi znaczne ryzyko bezpieczeństwa. **Wyłączenie logowania jako root** jest kluczowym krokiem w zabezpieczaniu serwera. Nieuprawniony dostęp z uprawnieniami administracyjnymi oraz ataki bruteforce można zminimalizować, dokonując tej zmiany.

**Aby wyłączyć logowanie jako root w OpenSSH:**

1. **Edytuj plik konfiguracyjny SSH** za pomocą: `sudoedit /etc/ssh/sshd_config`
2. **Zmień ustawienie** z `#PermitRootLogin yes` na **`PermitRootLogin no`**.
3. **Przeładuj konfigurację** za pomocą: `sudo systemctl daemon-reload`
4. **Uruchom ponownie serwer SSH**, aby zastosować zmiany: `sudo systemctl restart sshd`

### Atak bruteforce SFTP

* [**Atak bruteforce SFTP**](../generic-methodologies-and-resources/brute-force.md#sftp)

### Wykonanie poleceń SFTP

Często występuje powszechne przeoczenie w konfiguracjach SFTP, gdzie administratorzy zamierzają, aby użytkownicy wymieniali pliki bez włączania zdalnego dostępu do powłoki. Pomimo ustawienia użytkowników z nieaktywnymi powłokami (np. `/usr/bin/nologin`) i ograniczenia ich do określonego katalogu, pozostaje luka w zabezpieczeniach. **Użytkownicy mogą ominąć te ograniczenia**, żądając wykonania polecenia (np. `/bin/bash`) natychmiast po zalogowaniu, zanim przejmie kontrolę ich przeznaczona nieaktywna powłoka. Pozwala to na nieautoryzowane wykonanie poleceń, podważając zamierzone środki bezpieczeństwa.

[Przykład stąd](https://community.turgensec.com/ssh-hacking-guide/):
```bash
ssh -v noraj@192.168.1.94 id
...
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending command: id
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
uid=1000(noraj) gid=100(users) groups=100(users)
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
Bytes per second: sent 43133.4, received 44349.5
debug1: Exit status 0

$ ssh noraj@192.168.1.94 /bin/bash
```
Oto przykład zabezpieczonej konfiguracji SFTP (`/etc/ssh/sshd_config` - openSSH) dla użytkownika `noraj`:
```
Match User noraj
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PermitTTY no
```
To konfiguracja pozwoli tylko na SFTP: wyłączenie dostępu do powłoki poprzez wymuszenie uruchomienia polecenia start i wyłączenie dostępu do TTY, ale także wyłączenie wszystkich rodzajów przekierowywania portów lub tunelowania.

### Tunelowanie SFTP

Jeśli masz dostęp do serwera SFTP, możesz również przekierować swój ruch przez niego, na przykład korzystając z powszechnego przekierowywania portów:
```bash
sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>
```
### SFTP Symlink

**SFTP** posiada polecenie "**symlink**". Dlatego, jeśli masz **prawa do zapisu** w pewnym folderze, możesz tworzyć **symlinki** do **innych folderów/plików**. Ponieważ prawdopodobnie jesteś **uwięziony** w chroocie, to **nie będzie to specjalnie przydatne** dla Ciebie, ale jeśli możesz **uzyskać dostęp** do utworzonego **symlinku** z **usługi bez chroota** (na przykład, jeśli możesz uzyskać dostęp do symlinku z sieci), możesz **otworzyć pliki poprzez sieć**.

Na przykład, aby utworzyć **symlink** od nowego pliku **"**_**froot**_**" do "**_**/**_**"**:
```bash
sftp> symlink / froot
```
Jeśli możesz uzyskać dostęp do pliku "_froot_" za pośrednictwem sieci, będziesz mógł wyświetlić zawartość folderu root ("/") systemu.

### Metody uwierzytelniania

W środowiskach o wysokim poziomie bezpieczeństwa powszechną praktyką jest włączanie tylko uwierzytelniania opartego na kluczu lub uwierzytelniania dwuetapowego, a nie opartego na prostym haśle. Jednak często silniejsze metody uwierzytelniania są włączane bez wyłączania słabszych. Częstym przypadkiem jest włączenie `publickey` w konfiguracji openSSH i ustawienie go jako domyślną metodę, ale nie wyłączenie `password`. Dlatego, korzystając z trybu verbose klienta SSH, atakujący może zobaczyć, że włączona jest słabsza metoda:
```bash
ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive
```
Na przykład, jeśli ustawiono limit niepowodzeń uwierzytelniania i nigdy nie masz szansy dotrzeć do metody hasła, możesz użyć opcji `PreferredAuthentications`, aby wymusić użycie tej metody.
```bash
ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password
```
### Pliki konfiguracyjne
```bash
ssh_config
sshd_config
authorized_keys
ssh_known_hosts
known_hosts
id_rsa
```
## Fuzzing

* [https://packetstormsecurity.com/files/download/71252/sshfuzz.txt](https://packetstormsecurity.com/files/download/71252/sshfuzz.txt)
* [https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2](https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2)

## References

* Możesz znaleźć interesujące przewodniki dotyczące zabezpieczania SSH pod adresem [https://www.ssh-audit.com/hardening\_guides.html](https://www.ssh-audit.com/hardening\_guides.html)
* [https://community.turgensec.com/ssh-hacking-guide](https://community.turgensec.com/ssh-hacking-guide)

<figure><img src="../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>

**Wskazówka dotycząca nagrody za błąd**: **Zarejestruj się** na platformie **Intigriti**, premium platformie **nagród za błędy stworzonej przez hakerów, dla hakerów**! Dołącz do nas na [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) już dziś i zacznij zarabiać nagrody aż do **$100,000**!

{% embed url="https://go.intigriti.com/hacktricks" %}

## HackTricks Automatic Commands
```
Protocol_Name: SSH
Port_Number: 22
Protocol_Description: Secure Shell Hardening

Entry_1:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh

Entry_2:
Name: consolesless mfs enumeration
Description: SSH enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'

```
<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>