hacktricks/network-services-pentesting/pentesting-ssh.md

# 22 - Pentesting SSH/SFTP

<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras maneiras de apoiar o HackTricks:

* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>

<figure><img src="../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>

**Dica de recompensa por bugs**: **inscreva-se** no **Intigriti**, uma plataforma de **recompensas por bugs premium criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje e comece a ganhar recompensas de até **$100,000**!

{% embed url="https://go.intigriti.com/hacktricks" %}

## Informações Básicas

**SSH (Secure Shell ou Secure Socket Shell)** é um protocolo de rede que permite uma conexão segura a um computador em uma rede não segura. É essencial para manter a confidencialidade e integridade dos dados ao acessar sistemas remotos.

**Porta padrão:** 22
```
22/tcp open  ssh     syn-ack
```
**Servidores SSH:**

* [openSSH](http://www.openssh.org) – OpenBSD SSH, incluído em distribuições BSD, Linux e Windows desde o Windows 10
* [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) – Implementação SSH para ambientes com baixa memória e recursos de processamento, incluído no OpenWrt
* [PuTTY](https://www.chiark.greenend.org.uk/\~sgtatham/putty/) – Implementação SSH para Windows, o cliente é comumente usado, mas o uso do servidor é mais raro
* [CopSSH](https://www.itefix.net/copssh) – Implementação do OpenSSH para Windows

**Bibliotecas SSH (implementando no lado do servidor):**

* [libssh](https://www.libssh.org) – Biblioteca C multiplataforma que implementa o protocolo SSHv2 com bindings em [Python](https://github.com/ParallelSSH/ssh-python), [Perl](https://github.com/garnier-quentin/perl-libssh/) e [R](https://github.com/ropensci/ssh); é usada pelo KDE para sftp e pelo GitHub para a infraestrutura git SSH
* [wolfSSH](https://www.wolfssl.com/products/wolfssh/) – Biblioteca de servidor SSHv2 escrita em ANSI C e direcionada para ambientes embarcados, RTOS e com recursos limitados
* [Apache MINA SSHD](https://mina.apache.org/sshd-project/index.html) – A biblioteca java Apache SSHD é baseada no Apache MINA
* [paramiko](https://github.com/paramiko/paramiko) – Biblioteca Python de protocolo SSHv2

## Enumeração

### Coleta de Banner
```bash
nc -vn <IP> 22
```
### Auditoria automatizada do ssh-audit

O ssh-audit é uma ferramenta para auditoria de configuração de servidor e cliente ssh.

[https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit) é um fork atualizado de [https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/)

**Recursos:**

* Suporte a servidores SSH1 e SSH2;
* analisar a configuração do cliente SSH;
* obter banner, reconhecer dispositivo ou software e sistema operacional, detectar compressão;
* reunir algoritmos de troca de chaves, chaves de host, criptografia e códigos de autenticação de mensagem;
* informações de algoritmo de saída (disponível desde, removido/desativado, inseguro/fraco/antigo, etc);
* recomendações de algoritmo de saída (adicionar ou remover com base na versão do software reconhecida);
* informações de segurança de saída (questões relacionadas, lista de CVE atribuída, etc);
* analisar a compatibilidade da versão do SSH com base nas informações do algoritmo;
* informações históricas do OpenSSH, Dropbear SSH e libssh;
* funciona no Linux e Windows;
* sem dependências
```bash
usage: ssh-audit.py [-1246pbcnjvlt] <host>

-1,  --ssh1             force ssh version 1 only
-2,  --ssh2             force ssh version 2 only
-4,  --ipv4             enable IPv4 (order of precedence)
-6,  --ipv6             enable IPv6 (order of precedence)
-p,  --port=<port>      port to connect
-b,  --batch            batch output
-c,  --client-audit     starts a server on port 2222 to audit client
software config (use -p to change port;
use -t to change timeout)
-n,  --no-colors        disable colors
-j,  --json             JSON output
-v,  --verbose          verbose output
-l,  --level=<level>    minimum output level (info|warn|fail)
-t,  --timeout=<secs>   timeout (in seconds) for connection and reading
(default: 5)
$ python3 ssh-audit <IP>
```
### Chave pública SSH do servidor

[Veja em ação (Asciinema)](https://asciinema.org/a/96ejZKxpbuupTK9j7h8BdClzp)
```bash
ssh-keyscan -t rsa <IP> -p <PORT>
```
### Algoritmos de Cifra Fracos

Isso é descoberto por padrão pelo **nmap**. Mas você também pode usar **sslcan** ou **sslyze**.

### Scripts do Nmap
```bash
nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods
```
### Shodan

* `ssh`

## Força bruta em nomes de usuário, senhas e chaves privadas

### Enumeração de Nomes de Usuário

Em algumas versões do OpenSSH, você pode realizar um ataque de tempo para enumerar usuários. Você pode usar um módulo do Metasploit para explorar isso:
```
msf> use scanner/ssh/ssh_enumusers
```
### [Brute force](../generic-methodologies-and-resources/brute-force.md#ssh)

Algumas credenciais ssh comuns [aqui](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt) e [aqui](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt) e abaixo.

### Força Bruta de Chave Privada

Se você conhece algumas chaves privadas ssh que poderiam ser usadas... vamos tentar. Você pode usar o script nmap:
```
https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html
```
Ou o módulo auxiliar MSF:
```
msf> use scanner/ssh/ssh_identify_pubkeys
```
Ou use `ssh-keybrute.py` (python3 nativo, leve e com algoritmos legados habilitados): [snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute).

#### Chaves ruins conhecidas podem ser encontradas aqui:

{% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %}

#### Chaves SSH fracas / PRNG previsível do Debian

Alguns sistemas possuem falhas conhecidas na semente aleatória usada para gerar material criptográfico. Isso pode resultar em um espaço de chaves dramaticamente reduzido que pode ser quebrado por força bruta. Conjuntos de chaves pré-geradas geradas em sistemas Debian afetados por PRNG fraco estão disponíveis aqui: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh).

Você deve procurar aqui para buscar chaves válidas para a máquina vítima.

### Kerberos

**crackmapexec** usando o protocolo `ssh` pode usar a opção `--kerberos` para **autenticar via kerberos**.\
Para mais informações execute `crackmapexec ssh --help`.

## Credenciais padrão

| **Fornecedor** | **Nomes de usuário**                                                                                         | **Senhas**                                                                                                                                                                                                 |
| -------------- | ------------------------------------------------------------------------------------------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| APC            | apc, device                                                                                                  | apc                                                                                                                                                                                                       |
| Brocade        | admin                                                                                                        | admin123, password, brocade, fibranne                                                                                                                                                                     |
| Cisco          | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin                                            | admin, Admin123, default, password, secur4u, cisco, Cisco, \_Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change\_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
| Citrix         | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin                                                             | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler                                                                                                                      |
| D-Link         | admin, user                                                                                                  | private, admin, user                                                                                                                                                                                      |
| Dell           | root, user1, admin, vkernel, cli                                                                             | calvin, 123456, password, vkernel, Stor@ge!, admin                                                                                                                                                        |
| EMC            | admin, root, sysadmin                                                                                        | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc                                                                                                                                             |
| HP/3Com        | admin, root, vcx, app, spvar, manage, hpsupport, opc\_op                                                     | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC\_op, !manage, !admin                                                  |
| Huawei         | admin, root                                                                                                  | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123                                                                                            |
| IBM            | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer                                                                                                                              |
| Juniper        | netscreen                                                                                                    | netscreen                                                                                                                                                                                                 |
| NetApp         | admin                                                                                                        | netapp123                                                                                                                                                                                                 |
| Oracle         | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user                                            | changeme, ilom-admin, ilom-operator, welcome1, oracle                                                                                                                                                     |
| VMware         | vi-admin, root, hqadmin, vmware, admin                                                                       | vmware, vmw@re, hqadmin, default                                                                                                                                                                          |

## SSH-MitM

Se você estiver na rede local como a vítima que vai se conectar ao servidor SSH usando nome de usuário e senha, você pode tentar **realizar um ataque MitM para roubar essas credenciais:**

**Caminho do ataque:**

* **Redirecionamento de tráfego:** O atacante **desvia** o tráfego da vítima para sua máquina, efetivamente **interceptando** a tentativa de conexão com o servidor SSH.
* **Interceptação e Registro:** A máquina do atacante age como um **proxy**, **capturando** os detalhes de login do usuário fingindo ser o servidor SSH legítimo.
* **Execução de Comandos e Revezamento:** Por fim, o servidor do atacante **registra as credenciais do usuário**, **encaminha os comandos** para o verdadeiro servidor SSH, **executa** os comandos e **envia os resultados de volta** para o usuário, tornando o processo aparentemente contínuo e legítimo.

[**SSH MITM**](https://github.com/jtesta/ssh-mitm) faz exatamente o que é descrito acima.

Para capturar e realizar o MitM real, você pode usar técnicas como ARP spoofing, DNS spoofing ou outras descritas nos [**ataques de falsificação de rede**](../generic-methodologies-and-resources/pentesting-network/#spoofing).

## SSH-Snake

Se você deseja percorrer uma rede usando chaves privadas SSH descobertas em sistemas, utilizando cada chave privada em cada sistema para novos hosts, então [**SSH-Snake**](https://github.com/MegaManSec/SSH-Snake) é o que você precisa.

O SSH-Snake realiza automaticamente e de forma recursiva as seguintes tarefas:

1. No sistema atual, encontre quaisquer chaves privadas SSH,
2. No sistema atual, encontre quaisquer hosts ou destinos (usuário@host) que possam aceitar as chaves privadas,
3. Tente fazer SSH em todos os destinos usando todas as chaves privadas descobertas,
4. Se um destino for conectado com sucesso, repete os passos #1 - #4 no sistema conectado.

É completamente auto-replicante e auto-propagante - e completamente sem arquivos.

## Configurações Incorretas de Configuração

### Login de root

É comum que servidores SSH permitam o login do usuário root por padrão, o que representa um risco de segurança significativo. **Desabilitar o login de root** é um passo crítico para garantir a segurança do servidor. O acesso não autorizado com privilégios administrativos e ataques de força bruta podem ser mitigados ao fazer essa alteração.

**Para Desabilitar o Login de Root no OpenSSH:**

1. **Edite o arquivo de configuração do SSH** com: `sudoedit /etc/ssh/sshd_config`
2. **Altere a configuração** de `#PermitRootLogin yes` para **`PermitRootLogin no`**.
3. **Recarregue a configuração** usando: `sudo systemctl daemon-reload`
4. **Reinicie o servidor SSH** para aplicar as alterações: `sudo systemctl restart sshd`

### Força Bruta SFTP

* [**Força Bruta SFTP**](../generic-methodologies-and-resources/brute-force.md#sftp)

### Execução de comandos SFTP

Há uma falha comum nas configurações de SFTP, onde os administradores pretendem que os usuários troquem arquivos sem habilitar o acesso ao shell remoto. Apesar de configurar os usuários com shells não interativos (por exemplo, `/usr/bin/nologin`) e confiná-los a um diretório específico, uma brecha de segurança permanece. **Os usuários podem contornar essas restrições** solicitando a execução de um comando (como `/bin/bash`) imediatamente após o login, antes que seu shell não interativo designado assuma o controle. Isso permite a execução não autorizada de comandos, minando as medidas de segurança pretendidas.

[Exemplo daqui](https://community.turgensec.com/ssh-hacking-guide/):
```bash
ssh -v noraj@192.168.1.94 id
...
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending command: id
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
uid=1000(noraj) gid=100(users) groups=100(users)
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
Bytes per second: sent 43133.4, received 44349.5
debug1: Exit status 0

$ ssh noraj@192.168.1.94 /bin/bash
```
Aqui está um exemplo de configuração segura do SFTP (`/etc/ssh/sshd_config` - openSSH) para o usuário `noraj`:
```
Match User noraj
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PermitTTY no
```
Esta configuração permitirá apenas SFTP: desativando o acesso ao shell forçando o comando de início e desativando o acesso ao TTY, mas também desativando todos os tipos de encaminhamento de porta ou tunelamento.

### Tunelamento SFTP

Se você tiver acesso a um servidor SFTP, também pode encaminhar seu tráfego por meio dele, por exemplo, usando o encaminhamento de porta comum:
```bash
sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>
```
### SFTP Symlink

O **sftp** tem o comando "**symlink**". Portanto, se você tiver **direitos de escrita** em alguma pasta, você pode criar **symlinks** de **outras pastas/arquivos**. Como você provavelmente está **preso** dentro de um chroot, isso **não será especialmente útil** para você, mas, se você puder **acessar** o **symlink** criado a partir de um **serviço sem chroot** (por exemplo, se você puder acessar o symlink pela web), você poderia **abrir os arquivos symlinkados através da web**.

Por exemplo, para criar um **symlink** de um novo arquivo **"**_**froot**_**" para "**_**/**_**"**:
```bash
sftp> symlink / froot
```
Se você conseguir acessar o arquivo "_froot_" via web, será capaz de listar a pasta raiz ("/") do sistema.

### Métodos de autenticação

Em ambientes de alta segurança, é uma prática comum habilitar apenas a autenticação baseada em chave ou de dois fatores em vez da autenticação baseada em senha simples. Mas frequentemente os métodos de autenticação mais fortes são habilitados sem desabilitar os mais fracos. Um caso frequente é habilitar `publickey` na configuração do openSSH e defini-lo como método padrão, mas sem desabilitar `password`. Assim, usando o modo verbose do cliente SSH, um atacante pode ver que um método mais fraco está habilitado:
```bash
ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive
```
Por exemplo, se um limite de falha de autenticação estiver definido e você nunca tiver a chance de alcançar o método de senha, você pode usar a opção `PreferredAuthentications` para forçar o uso desse método.
```bash
ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password
```
Rever a configuração do servidor SSH é necessário para verificar se apenas os métodos esperados estão autorizados. Usar o modo verbose no cliente pode ajudar a ver a eficácia da configuração.

### Arquivos de configuração
```bash
ssh_config
sshd_config
authorized_keys
ssh_known_hosts
known_hosts
id_rsa
```
## Fuzzing

* [https://packetstormsecurity.com/files/download/71252/sshfuzz.txt](https://packetstormsecurity.com/files/download/71252/sshfuzz.txt)
* [https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2](https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2)

## Referências

* Você pode encontrar guias interessantes sobre como fortalecer o SSH em [https://www.ssh-audit.com/hardening\_guides.html](https://www.ssh-audit.com/hardening\_guides.html)
* [https://community.turgensec.com/ssh-hacking-guide](https://community.turgensec.com/ssh-hacking-guide)

<figure><img src="../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>

**Dica de recompensa por bugs**: **inscreva-se** no **Intigriti**, uma plataforma premium de **recompensa por bugs criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje e comece a ganhar recompensas de até **$100,000**!

{% embed url="https://go.intigriti.com/hacktricks" %}

## Comandos Automáticos do HackTricks
```
Protocol_Name: SSH
Port_Number: 22
Protocol_Description: Secure Shell Hardening

Entry_1:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh

Entry_2:
Name: consolesless mfs enumeration
Description: SSH enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'

```
<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras maneiras de apoiar o HackTricks:

* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>