# 22 - Pentesting SSH/SFTP
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 * ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! * Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com) * **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
Si estás interesado en una **carrera de hacking** y en hackear lo imposible - ¡**estamos contratando!** (_se requiere fluidez en polaco escrito y hablado_). {% embed url="https://www.stmcyber.com/careers" %} ## Información básica **SSH o Secure Shell o Secure Socket Shell,** es un protocolo de red que proporciona a los usuarios una **forma segura de acceder a una computadora a través de una red no segura.** **Puerto predeterminado:** 22 ``` 22/tcp open ssh syn-ack ``` **Servidores SSH:** * [openSSH](http://www.openssh.org) – SSH de OpenBSD, incluido en distribuciones BSD, Linux y Windows desde Windows 10. * [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) – Implementación de SSH para entornos con pocos recursos de memoria y procesador, incluido en OpenWrt. * [PuTTY](https://www.chiark.greenend.org.uk/\~sgtatham/putty/) – Implementación de SSH para Windows, el cliente es comúnmente utilizado pero el uso del servidor es más raro. * [CopSSH](https://www.itefix.net/copssh) – Implementación de OpenSSH para Windows. **Librerías SSH (implementando servidor):** * [libssh](https://www.libssh.org) – Librería multiplataforma en C que implementa el protocolo SSHv2 con bindings en [Python](https://github.com/ParallelSSH/ssh-python), [Perl](https://github.com/garnier-quentin/perl-libssh/) y [R](https://github.com/ropensci/ssh); es utilizada por KDE para sftp y por GitHub para la infraestructura de git SSH. * [wolfSSH](https://www.wolfssl.com/products/wolfssh/) – Librería de servidor SSHv2 escrita en ANSI C y enfocada en entornos embebidos, RTOS y con recursos limitados. * [Apache MINA SSHD](https://mina.apache.org/sshd-project/index.html) – La librería de Java Apache SSHD está basada en Apache MINA. * [paramiko](https://github.com/paramiko/paramiko) – Librería de protocolo SSHv2 en Python. ## Enumeración ### Banner Grabbing ```bash nc -vn 22 ``` ### Auditoría automatizada de ssh ssh-audit es una herramienta para la auditoría de configuración de servidores y clientes ssh. [https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit) es un fork actualizado de [https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/) **Características:** * Soporte para servidores SSH1 y SSH2; * analiza la configuración del cliente SSH; * obtiene el banner, reconoce el dispositivo o software y el sistema operativo, detecta la compresión; * recopila algoritmos de intercambio de claves, claves de host, cifrado y código de autenticación de mensajes; * información de algoritmos de salida (disponibles desde, eliminados/desactivados, inseguros/débiles/antiguos, etc.); * recomendaciones de algoritmos de salida (añadir o eliminar en función de la versión de software reconocida); * información de seguridad de salida (problemas relacionados, lista de CVE asignados, etc.); * analiza la compatibilidad de la versión SSH en función de la información del algoritmo; * información histórica de OpenSSH, Dropbear SSH y libssh; * se ejecuta en Linux y Windows; * sin dependencias. ```bash usage: ssh-audit.py [-1246pbcnjvlt] -1, --ssh1 force ssh version 1 only -2, --ssh2 force ssh version 2 only -4, --ipv4 enable IPv4 (order of precedence) -6, --ipv6 enable IPv6 (order of precedence) -p, --port= port to connect -b, --batch batch output -c, --client-audit starts a server on port 2222 to audit client software config (use -p to change port; use -t to change timeout) -n, --no-colors disable colors -j, --json JSON output -v, --verbose verbose output -l, --level= minimum output level (info|warn|fail) -t, --timeout= timeout (in seconds) for connection and reading (default: 5) $ python3 ssh-audit ``` ### Clave pública SSH del servidor Para conectarse a un servidor SSH, es necesario tener la clave pública del servidor. Esta clave se puede obtener de varias maneras, como por ejemplo, a través de la página web del proveedor de servicios o mediante una solicitud al administrador del servidor. Una vez que se tiene la clave pública, se puede utilizar para conectarse al servidor de forma segura. ```bash ssh-keyscan -t rsa -p ``` ### Algoritmos de cifrado débiles Esto se descubre por defecto con **nmap**. Pero también se puede usar **sslcan** o **sslyze**. ### Scripts de Nmap ```bash nmap -p22 -sC # Send default nmap scripts for SSH nmap -p22 -sV # Retrieve version nmap -p22 --script ssh2-enum-algos # Retrieve supported algorythms nmap -p22 --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys nmap -p22 --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods ``` ### Shodan * `ssh` ## Fuerza bruta de nombres de usuario, contraseñas y claves privadas ### Enumeración de nombres de usuario En algunas versiones de OpenSSH se puede realizar un ataque de tiempo para enumerar usuarios. Puede utilizar un módulo de Metasploit para explotar esto: ``` msf> use scanner/ssh/ssh_enumusers ``` ### [Fuerza bruta](../generic-methodologies-and-resources/brute-force.md#ssh) Algunas credenciales comunes de ssh se encuentran [aquí](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt) y [aquí](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt) y a continuación. ### Fuerza bruta de clave privada Si conoces algunas claves privadas de ssh que podrían ser utilizadas... vamos a intentarlo. Puedes usar el script de nmap: ``` https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html ``` O el módulo auxiliar de MSF: ``` msf> use scanner/ssh/ssh_identify_pubkeys ``` O puedes usar `ssh-keybrute.py` (nativo de python3, ligero y con algoritmos heredados habilitados): [snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute). #### Se pueden encontrar claves malas conocidas aquí: {% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %} #### Claves SSH débiles / PRNG predecible de Debian Algunos sistemas tienen fallas conocidas en la semilla aleatoria utilizada para generar material criptográfico. Esto puede resultar en un espacio de claves dramáticamente reducido que puede ser atacado por fuerza bruta. Los conjuntos de claves pregenerados generados en sistemas Debian afectados por PRNG débil están disponibles aquí: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh). Deberías buscar aquí para buscar claves válidas para la máquina víctima. ### Kerberos **crackmapexec** usando el protocolo `ssh` puede usar la opción `--kerberos` para **autenticar a través de kerberos**.\ Para obtener más información, ejecuta `crackmapexec ssh --help`. ## Credenciales predeterminadas | **Proveedor** | **Nombres de usuario** | **Contraseñas** | | ---------- | ----------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | APC | apc, device | apc | | Brocade | admin | admin123, password, brocade, fibranne | | Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, \_Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change\_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme | | Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler | | D-Link | admin, user | private, admin, user | | Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin | | EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc | | HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc\_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC\_op, !manage, !admin | | Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 | | IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer | | Juniper | netscreen | netscreen | | NetApp | admin | netapp123 | | Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle | | VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default | ## SSH-MitM Si estás en la red local como la víctima que va a conectarse al servidor SSH usando nombre de usuario y contraseña, podrías intentar **realizar un ataque MitM para robar esas credenciales:** **Ruta de ataque:** * el tráfico del usuario se redirige a la máquina atacante * el atacante monitorea los intentos de conexión al servidor SSH y los redirige a su servidor SSH * el servidor SSH del atacante está configurado, en primer lugar, para registrar todos los datos ingresados, incluida la contraseña del usuario, y, en segundo lugar, enviar comandos al servidor SSH legítimo al que el usuario quiere conectarse, para ejecutarlos, y luego devolver los resultados al usuario legítimo \*\*\*\*[**SSH MITM**](https://github.com/jtesta/ssh-mitm) \*\*\*\* hace exactamente lo que se describe arriba. Para capturar realizar el MitM real, podrías usar técnicas como ARP spoofing, DNS spoofin u otras descritas en los [**ataques de suplantación de red**](../generic-methodologies-and-resources/pentesting-network/#spoofing). ## Configuraciones incorrectas de configuración ### Inicio de sesión de root Por defecto, la mayoría de las implementaciones de servidor SSH permitirán el inicio de sesión de root, se recomienda desactivarlo porque si las credenciales de esta cuenta se filtran, los atacantes obtendrán privilegios administrativos directamente y esto también permitirá a los atacantes realizar ataques de fuerza bruta en esta cuenta. **Cómo desactivar el inicio de sesión de root para openSSH:** 1. Edita la configuración del servidor SSH `sudoedit /etc/ssh/sshd_config` 2. Cambia `#PermitRootLogin yes` a `PermitRootLogin no` 3. Ten en cuenta los cambios de configuración: `sudo systemctl daemon-reload` 4. Reinicia el servidor SSH `sudo systemctl restart sshd` ### Ejecución de comandos SFTP Otra configuración incorrecta común de SSH se ve a menudo en la configuración de SFTP. La mayoría de las veces, al crear un servidor SFTP, el administrador quiere que los usuarios tengan acceso SFTP para compartir archivos pero no para obtener una shell remota en la máquina. Entonces, piensan que crear un usuario, atribuirle una shell de marcador de posición (como `/usr/bin/nologin` o `/usr/bin/false`) y encarcelarlo en una cárcel es suficiente para evitar el acceso a la shell o el abuso en todo el sistema de archivos. Pero están equivocados, **un usuario puede solicitar ejecutar un comando justo después de la autenticación antes de que se ejecute su comando o shell predeterminado**. Entonces, para evitar la shell de marcador de posición que denegará el acceso a la shell, solo hay que pedir que se ejecute un comando (por ejemplo, `/bin/bash`) antes, simplemente haciendo: ``` $ ssh -v noraj@192.168.1.94 id ... Password: debug1: Authentication succeeded (keyboard-interactive). Authenticated to 192.168.1.94 ([192.168.1.94]:22). debug1: channel 0: new [client-session] debug1: Requesting no-more-sessions@openssh.com debug1: Entering interactive session. debug1: pledge: network debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0 debug1: Sending command: id debug1: client_input_channel_req: channel 0 rtype exit-status reply 0 debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0 uid=1000(noraj) gid=100(users) groups=100(users) debug1: channel 0: free: client-session, nchannels 1 Transferred: sent 2412, received 2480 bytes, in 0.1 seconds Bytes per second: sent 43133.4, received 44349.5 debug1: Exit status 0 $ ssh noraj@192.168.1.94 /bin/bash ``` Aquí hay un ejemplo de configuración segura de SFTP (`/etc/ssh/sshd_config` - openSSH) para el usuario `noraj`: ``` Match User noraj ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no PermitTunnel no X11Forwarding no PermitTTY no ``` Esta configuración permitirá solo SFTP: deshabilitando el acceso a la shell forzando el comando de inicio y deshabilitando el acceso TTY, pero también deshabilitando todo tipo de reenvío de puertos o túneles. ### Túneles SFTP Si tienes acceso a un servidor SFTP, también puedes tunelizar tu tráfico a través de él, por ejemplo, utilizando el reenvío de puertos común: ``` sudo ssh -L :: -N -f @ ``` ### SFTP Symlink El comando "**symlink**" está disponible en **sftp**. Por lo tanto, si tienes **permisos de escritura** en alguna carpeta, puedes crear **enlaces simbólicos** de **otras carpetas/archivos**. Probablemente estés **atrapado** dentro de un chroot, por lo que esto no será especialmente útil para ti, pero si puedes **acceder** al **enlace simbólico** creado desde un **servicio sin chroot** (por ejemplo, si puedes acceder al enlace simbólico desde la web), podrías **abrir los archivos enlazados a través de la web**. Por ejemplo, para crear un **enlace simbólico** desde un nuevo archivo **"**_**froot**_**" a "**_**/**_**"**: ``` sftp> symlink / froot ``` Si puedes acceder al archivo "_froot_" a través de la web, podrás listar la carpeta raíz ("/") del sistema. ### Métodos de autenticación En entornos de alta seguridad, es común habilitar solo la autenticación basada en clave o de dos factores en lugar de la autenticación simple basada en contraseña. Pero a menudo, los métodos de autenticación más fuertes se habilitan sin deshabilitar los más débiles. Un caso frecuente es habilitar `publickey` en la configuración de openSSH y establecerlo como el método predeterminado, pero no deshabilitar `password`. Por lo tanto, al usar el modo detallado del cliente SSH, un atacante puede ver que se ha habilitado un método más débil: ``` $ ssh -v 192.168.1.94 OpenSSH_8.1p1, OpenSSL 1.1.1d 10 Sep 2019 ... debug1: Authentications that can continue: publickey,password,keyboard-interactive ``` Por ejemplo, si se establece un límite de fallos de autenticación y nunca se tiene la oportunidad de llegar al método de contraseña, se puede utilizar la opción `PreferredAuthentications` para forzar el uso de este método. ``` $ ssh -v 192.168.1.94 -o PreferredAuthentications=password ... debug1: Next authentication method: password ``` Revisar la configuración del servidor SSH es necesario para comprobar que solo se autorizan los métodos esperados. Usar el modo verbose en el cliente puede ayudar a ver la efectividad de la configuración. ### Archivos de configuración ``` ssh_config sshd_config authorized_keys ssh_known_hosts known_hosts id_rsa ``` ## Fuzzing * [https://packetstormsecurity.com/files/download/71252/sshfuzz.txt](https://packetstormsecurity.com/files/download/71252/sshfuzz.txt) * [https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2](https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2) ## Referencias * Puedes encontrar guías interesantes sobre cómo endurecer SSH en [https://www.ssh-audit.com/hardening\_guides.html](https://www.ssh-audit.com/hardening\_guides.html) * [https://community.turgensec.com/ssh-hacking-guide](https://community.turgensec.com/ssh-hacking-guide) Si estás interesado en una **carrera de hacking** y hackear lo imposible - ¡**estamos contratando!** (_se requiere fluidez en polaco escrito y hablado_). {% embed url="https://www.stmcyber.com/careers" %} ## Comandos Automáticos de HackTricks ``` Protocol_Name: SSH Port_Number: 22 Protocol_Description: Secure Shell Hardening Entry_1: Name: Hydra Brute Force Description: Need Username Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 -u {IP} ssh Entry_2: Name: consolesless mfs enumeration Description: SSH enumeration without the need to run msfconsole Note: sourced from https://github.com/carlospolop/legion Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit' ```
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 * ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! * Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * Obtén la [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com) * **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme en** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.