# 22 - Pentesting SSH/SFTP
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 * Trabalha numa **empresa de cibersegurança**? Quer ver a sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com) * **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Se está interessado numa **carreira de hacking** e em hackear o inquebrável - **estamos contratando!** (_é necessário polonês fluente escrito e falado_). {% embed url="https://www.stmcyber.com/careers" %} ## Informações Básicas **SSH ou Secure Shell ou Secure Socket Shell,** é um protocolo de rede que oferece aos usuários uma **forma segura de acessar um computador através de uma rede não segura.** **Porta padrão:** 22 ``` 22/tcp open ssh syn-ack ``` **Servidores SSH:** * [openSSH](http://www.openssh.org) – OpenBSD SSH, incluído em BSD, distribuições Linux e Windows desde o Windows 10 * [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) – Implementação SSH para ambientes com recursos limitados de memória e processador, incluído no OpenWrt * [PuTTY](https://www.chiark.greenend.org.uk/\~sgtatham/putty/) – Implementação SSH para Windows, o cliente é comumente usado, mas o uso do servidor é mais raro * [CopSSH](https://www.itefix.net/copssh) – implementação do OpenSSH para Windows **Bibliotecas SSH (implementando o lado do servidor):** * [libssh](https://www.libssh.org) – biblioteca C multiplataforma que implementa o protocolo SSHv2 com bindings em [Python](https://github.com/ParallelSSH/ssh-python), [Perl](https://github.com/garnier-quentin/perl-libssh/) e [R](https://github.com/ropensci/ssh); é usada pelo KDE para sftp e pelo GitHub para a infraestrutura SSH do git * [wolfSSH](https://www.wolfssl.com/products/wolfssh/) – biblioteca de servidor SSHv2 escrita em ANSI C e direcionada para ambientes embarcados, RTOS e com restrições de recursos * [Apache MINA SSHD](https://mina.apache.org/sshd-project/index.html) – biblioteca java Apache SSHD baseada no Apache MINA * [paramiko](https://github.com/paramiko/paramiko) – biblioteca de protocolo SSHv2 em Python ## Enumeração ### Captura de Banner ```bash nc -vn 22 ``` ### Auditoria automatizada ssh-audit ssh-audit é uma ferramenta para auditoria de configuração de servidor e cliente SSH. [https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit) é um fork atualizado de [https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/) **Recursos:** * Suporte a servidores de protocolo SSH1 e SSH2; * analisar configuração de cliente SSH; * capturar banner, reconhecer dispositivo ou software e sistema operacional, detectar compressão; * coletar algoritmos de troca de chaves, chave de host, criptografia e código de autenticação de mensagem; * saída de informações de algoritmo (disponível desde, removido/desativado, inseguro/fraco/legado, etc); * saída de recomendações de algoritmo (adicionar ou remover com base na versão de software reconhecida); * saída de informações de segurança (problemas relacionados, lista de CVEs atribuídos, etc); * analisar compatibilidade de versão SSH com base em informações de algoritmo; * informações históricas do OpenSSH, Dropbear SSH e libssh; * funciona em Linux e Windows; * sem dependências ```bash usage: ssh-audit.py [-1246pbcnjvlt] -1, --ssh1 force ssh version 1 only -2, --ssh2 force ssh version 2 only -4, --ipv4 enable IPv4 (order of precedence) -6, --ipv6 enable IPv6 (order of precedence) -p, --port= port to connect -b, --batch batch output -c, --client-audit starts a server on port 2222 to audit client software config (use -p to change port; use -t to change timeout) -n, --no-colors disable colors -j, --json JSON output -v, --verbose verbose output -l, --level= minimum output level (info|warn|fail) -t, --timeout= timeout (in seconds) for connection and reading (default: 5) $ python3 ssh-audit ``` [Veja em ação (Asciinema)](https://asciinema.org/a/96ejZKxpbuupTK9j7h8BdClzp) ### Chave pública SSH do servidor ```bash ssh-keyscan -t rsa -p ``` ### Algoritmos de Cifra Fracos Isso é descoberto por padrão pelo **nmap**. Mas você também pode usar **sslcan** ou **sslyze**. ### Scripts Nmap ```bash nmap -p22 -sC # Send default nmap scripts for SSH nmap -p22 -sV # Retrieve version nmap -p22 --script ssh2-enum-algos # Retrieve supported algorythms nmap -p22 --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys nmap -p22 --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods ``` ### Shodan * `ssh` ## Força bruta em nomes de usuário, senhas e chaves privadas ### Enumeração de Nome de Usuário Em algumas versões do OpenSSH, você pode realizar um ataque de temporização para enumerar usuários. Você pode usar um módulo do metasploit para explorar isso: ``` msf> use scanner/ssh/ssh_enumusers ``` ### [Força Bruta](../generic-methodologies-and-resources/brute-force.md#ssh) Algumas credenciais ssh comuns [aqui](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt) e [aqui](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt) e abaixo. ### Força Bruta de Chave Privada Se você conhece algumas chaves privadas ssh que poderiam ser usadas... vamos tentar. Você pode usar o script do nmap: ``` https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html ``` Ou o módulo auxiliar MSF: ``` msf> use scanner/ssh/ssh_identify_pubkeys ``` Ou use `ssh-keybrute.py` (nativo python3, leve e com algoritmos legados ativados): [snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute). #### Chaves ruins conhecidas podem ser encontradas aqui: {% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %} #### Chaves SSH fracas / PRNG previsível do Debian Alguns sistemas possuem falhas conhecidas na semente aleatória usada para gerar material criptográfico. Isso pode resultar em um espaço de chaves drasticamente reduzido que pode ser forçado bruscamente. Conjuntos pré-gerados de chaves criadas em sistemas Debian afetados por PRNG fraco estão disponíveis aqui: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh). Você deve procurar aqui para buscar chaves válidas para a máquina vítima. ### Kerberos **crackmapexec** usando o protocolo `ssh` pode usar a opção `--kerberos` para **autenticar via kerberos**.\ Para mais informações, execute `crackmapexec ssh --help`. ## Credenciais Padrão | **Fabricante** | **Nomes de Usuário** | **Senhas** | | -------------- | ----------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | APC | apc, device | apc | | Brocade | admin | admin123, password, brocade, fibranne | | Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, \_Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change\_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme | | Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler | | D-Link | admin, user | private, admin, user | | Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin | | EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc | | HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc\_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC\_op, !manage, !admin | | Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 | | IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer | | Juniper | netscreen | netscreen | | NetApp | admin | netapp123 | | Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle | | VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default | ## SSH-MitM Se você estiver na mesma rede local que a vítima que vai se conectar ao servidor SSH usando nome de usuário e senha, você poderia tentar **realizar um ataque MitM para roubar essas credenciais:** **Caminho do ataque:** * o tráfego do usuário é redirecionado para a máquina atacante * o atacante monitora tentativas de conexão ao servidor SSH e as redireciona para o seu próprio servidor SSH * o servidor SSH do atacante é configurado, em primeiro lugar, para registrar todos os dados inseridos, incluindo a senha do usuário, e, em segundo lugar, enviar comandos para o servidor SSH legítimo ao qual o usuário deseja se conectar, para executá-los e, em seguida, retornar os resultados para o usuário legítimo \*\*\*\*[**SSH MITM**](https://github.com/jtesta/ssh-mitm) \*\*\*\* faz exatamente o que está descrito acima. Para capturar e realizar o MitM real, você poderia usar técnicas como ARP spoofing, DNS spoofing ou outras descritas em [**Ataques de Spoofing de Rede**](../generic-methodologies-and-resources/pentesting-network/#spoofing). ## Configurações Incorretas ### Login como root Por padrão, a maioria das implementações de servidores SSH permite o login como root, é aconselhável desativá-lo porque se as credenciais dessa conta vazarem, os atacantes obterão privilégios administrativos diretamente e isso também permitirá que eles conduzam ataques de força bruta nesta conta. **Como desativar o login como root no openSSH:** 1. Edite a configuração do servidor SSH `sudoedit /etc/ssh/sshd_config` 2. Altere `#PermitRootLogin yes` para `PermitRootLogin no` 3. Leve em conta as alterações de configuração: `sudo systemctl daemon-reload` 4. Reinicie o servidor SSH `sudo systemctl restart sshd` ### Execução de comando SFTP Outra configuração incorreta comum do SSH é frequentemente vista na configuração do SFTP. Na maioria das vezes, ao criar um servidor SFTP, o administrador deseja que os usuários tenham acesso ao SFTP para compartilhar arquivos, mas não para obter um shell remoto na máquina. Então eles pensam que criar um usuário, atribuindo-lhe um shell substituto (como `/usr/bin/nologin` ou `/usr/bin/false`) e confinando-o em uma prisão é suficiente para evitar o acesso ao shell ou abuso em todo o sistema de arquivos. Mas eles estão errados, **um usuário pode pedir para executar um comando logo após a autenticação antes que seu comando padrão ou shell seja executado**. Portanto, para contornar o shell substituto que negará o acesso ao shell, basta pedir para executar um comando (por exemplo, `/bin/bash`) antes, apenas fazendo: ``` $ ssh -v noraj@192.168.1.94 id ... Password: debug1: Authentication succeeded (keyboard-interactive). Authenticated to 192.168.1.94 ([192.168.1.94]:22). debug1: channel 0: new [client-session] debug1: Requesting no-more-sessions@openssh.com debug1: Entering interactive session. debug1: pledge: network debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0 debug1: Sending command: id debug1: client_input_channel_req: channel 0 rtype exit-status reply 0 debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0 uid=1000(noraj) gid=100(users) groups=100(users) debug1: channel 0: free: client-session, nchannels 1 Transferred: sent 2412, received 2480 bytes, in 0.1 seconds Bytes per second: sent 43133.4, received 44349.5 debug1: Exit status 0 $ ssh noraj@192.168.1.94 /bin/bash ``` Aqui está um exemplo de configuração segura de SFTP (`/etc/ssh/sshd_config` – openSSH) para o usuário `noraj`: ``` Match User noraj ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no PermitTunnel no X11Forwarding no PermitTTY no ``` Esta configuração permitirá apenas SFTP: desabilitando o acesso ao shell ao forçar o comando de início e desabilitando o acesso TTY, mas também desabilitando todo tipo de encaminhamento de porta ou tunelamento. ### Tunelamento SFTP Se você tem acesso a um servidor SFTP, você também pode tunelar seu tráfego através deste, por exemplo, usando o encaminhamento de porta comum: ``` sudo ssh -L :: -N -f @ ``` ### SFTP Symlink O **sftp** possui o comando "**symlink**". Portanto, se você tem **direitos de escrita** em alguma pasta, você pode criar **symlinks** de **outras pastas/arquivos**. Como você provavelmente está **preso** dentro de um chroot, isso **não será especialmente útil** para você, mas, se você puder **acessar** o **symlink** criado a partir de um **serviço sem chroot** (por exemplo, se você pode acessar o symlink pela web), você poderia **abrir os arquivos vinculados através da web**. Por exemplo, para criar um **symlink** de um novo arquivo **"**_**froot**_**" para "**_**/**_**"**: ``` sftp> symlink / froot ``` Se você pode acessar o arquivo "_froot_" via web, você será capaz de listar a pasta raiz ("/") do sistema. ### Métodos de autenticação Em ambientes de alta segurança, é comum a prática de habilitar apenas autenticação baseada em chave ou autenticação de dois fatores, em vez da autenticação simples baseada em senha. No entanto, muitas vezes os métodos de autenticação mais fortes são habilitados sem desativar os mais fracos. Um caso frequente é habilitar `publickey` na configuração do openSSH e definí-lo como o método padrão, mas não desabilitar `password`. Assim, usando o modo verboso do cliente SSH, um atacante pode ver que um método mais fraco está habilitado: ``` $ ssh -v 192.168.1.94 OpenSSH_8.1p1, OpenSSL 1.1.1d 10 Sep 2019 ... debug1: Authentications that can continue: publickey,password,keyboard-interactive ``` Por exemplo, se um limite de falhas de autenticação estiver definido e você nunca tiver a chance de alcançar o método de senha, você pode usar a opção `PreferredAuthentications` para forçar o uso deste método. ``` $ ssh -v 192.168.1.94 -o PreferredAuthentications=password ... debug1: Next authentication method: password ``` Revisar a configuração do servidor SSH é necessário para verificar que apenas métodos esperados estão autorizados. Usar o modo verboso no cliente pode ajudar a ver a eficácia da configuração. ### Arquivos de configuração ``` ssh_config sshd_config authorized_keys ssh_known_hosts known_hosts id_rsa ``` ## Fuzzing * [https://packetstormsecurity.com/files/download/71252/sshfuzz.txt](https://packetstormsecurity.com/files/download/71252/sshfuzz.txt) * [https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2](https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2) ## Referências * Você pode encontrar guias interessantes sobre como reforçar a segurança do SSH em [https://www.ssh-audit.com/hardening\_guides.html](https://www.ssh-audit.com/hardening\_guides.html) * [https://community.turgensec.com/ssh-hacking-guide](https://community.turgensec.com/ssh-hacking-guide) Se você está interessado em **carreira de hacking** e em hackear o inquebrável - **estamos contratando!** (_é necessário polonês fluente, escrito e falado_). {% embed url="https://www.stmcyber.com/careers" %} ## Comandos Automáticos HackTricks ``` Protocol_Name: SSH Port_Number: 22 Protocol_Description: Secure Shell Hardening Entry_1: Name: Hydra Brute Force Description: Need Username Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh Entry_2: Name: consolesless mfs enumeration Description: SSH enumeration without the need to run msfconsole Note: sourced from https://github.com/carlospolop/legion Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit' ```
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 * Trabalha numa **empresa de cibersegurança**? Quer ver a sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com) * **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).