hacktricks/network-services-pentesting/pentesting-ssh.md

23 KiB
Raw Blame History

22 - Pentesting SSH/SFTP

Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

Se você está interessado em carreira de hacking e em hackear o inquebrável - estamos contratando! (fluência em polonês escrito e falado exigida).

{% embed url="https://www.stmcyber.com/careers" %}

Informações Básicas

SSH ou Secure Shell ou Secure Socket Shell, é um protocolo de rede que oferece aos usuários uma forma segura de acessar um computador através de uma rede não segura.

Porta padrão: 22

22/tcp open  ssh     syn-ack

Servidores SSH:

  • openSSH OpenBSD SSH, incluído em BSD, distribuições Linux e Windows desde o Windows 10
  • Dropbear Implementação SSH para ambientes com recursos limitados de memória e processador, incluído no OpenWrt
  • PuTTY Implementação SSH para Windows, o cliente é comumente usado, mas o uso do servidor é mais raro
  • CopSSH implementação do OpenSSH para Windows

Bibliotecas SSH (implementando o lado do servidor):

  • libssh biblioteca C multiplataforma que implementa o protocolo SSHv2 com bindings em Python, Perl e R; é usada pelo KDE para sftp e pelo GitHub para a infraestrutura SSH do git
  • wolfSSH biblioteca de servidor SSHv2 escrita em ANSI C e direcionada para ambientes embarcados, RTOS e com restrições de recursos
  • Apache MINA SSHD biblioteca java Apache SSHD baseada no Apache MINA
  • paramiko biblioteca do protocolo SSHv2 em Python

Enumeração

Captura de Banner

nc -vn <IP> 22

Auditoria automatizada ssh-audit

ssh-audit é uma ferramenta para auditoria de configuração de servidores e clientes SSH.

https://github.com/jtesta/ssh-audit é um fork atualizado de https://github.com/arthepsy/ssh-audit/

Recursos:

  • Suporte a servidores de protocolo SSH1 e SSH2;
  • analisar configuração de cliente SSH;
  • capturar banner, reconhecer dispositivo ou software e sistema operacional, detectar compressão;
  • coletar algoritmos de troca de chaves, chave de host, criptografia e códigos de autenticação de mensagens;
  • exibir informações de algoritmos (disponível desde, removido/desativado, inseguro/fraco/legado, etc);
  • exibir recomendações de algoritmos (adicionar ou remover com base na versão de software reconhecida);
  • exibir informações de segurança (problemas relacionados, lista de CVEs atribuídos, etc);
  • analisar compatibilidade de versão SSH com base em informações de algoritmo;
  • informações históricas do OpenSSH, Dropbear SSH e libssh;
  • funciona em Linux e Windows;
  • sem dependências
usage: ssh-audit.py [-1246pbcnjvlt] <host>

-1,  --ssh1             force ssh version 1 only
-2,  --ssh2             force ssh version 2 only
-4,  --ipv4             enable IPv4 (order of precedence)
-6,  --ipv6             enable IPv6 (order of precedence)
-p,  --port=<port>      port to connect
-b,  --batch            batch output
-c,  --client-audit     starts a server on port 2222 to audit client
software config (use -p to change port;
use -t to change timeout)
-n,  --no-colors        disable colors
-j,  --json             JSON output
-v,  --verbose          verbose output
-l,  --level=<level>    minimum output level (info|warn|fail)
-t,  --timeout=<secs>   timeout (in seconds) for connection and reading
(default: 5)
$ python3 ssh-audit <IP>

Veja em ação (Asciinema)

Chave pública SSH do servidor

ssh-keyscan -t rsa <IP> -p <PORT>

Algoritmos de Cifra Fracos

Isso é descoberto por padrão pelo nmap. Mas você também pode usar sslcan ou sslyze.

Scripts Nmap

nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods

Shodan

  • ssh

Força bruta em nomes de usuário, senhas e chaves privadas

Enumeração de Nome de Usuário

Em algumas versões do OpenSSH, você pode realizar um ataque de temporização para enumerar usuários. Você pode usar um módulo do metasploit para explorar isso:

msf> use scanner/ssh/ssh_enumusers

Força Bruta

Algumas credenciais ssh comuns aqui e aqui e abaixo.

Força Bruta de Chave Privada

Se você conhece algumas chaves privadas ssh que poderiam ser usadas... vamos tentar. Você pode usar o script do nmap:

https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html

Ou o módulo auxiliar MSF:

msf> use scanner/ssh/ssh_identify_pubkeys

Ou use ssh-keybrute.py (nativo python3, leve e com algoritmos legados ativados): snowdroppe/ssh-keybrute.

Chaves ruins conhecidas podem ser encontradas aqui:

{% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %}

Chaves SSH fracas / PRNG previsível do Debian

Alguns sistemas possuem falhas conhecidas na semente aleatória usada para gerar material criptográfico. Isso pode resultar em um espaço de chaves drasticamente reduzido que pode ser forçado bruto. Conjuntos pré-gerados de chaves criadas em sistemas Debian afetados por PRNG fraco estão disponíveis aqui: g0tmi1k/debian-ssh.

Você deve procurar aqui para encontrar chaves válidas para a máquina vítima.

Kerberos

crackmapexec usando o protocolo ssh pode usar a opção --kerberos para autenticar via kerberos.
Para mais informações, execute crackmapexec ssh --help.

Credenciais Padrão

Fabricante Nomes de Usuário Senhas
APC apc, device apc
Brocade admin admin123, password, brocade, fibranne
Cisco admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme
Citrix root, nsroot, nsmaint, vdiadmin, kvm, cli, admin C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler
D-Link admin, user private, admin, user
Dell root, user1, admin, vkernel, cli calvin, 123456, password, vkernel, Stor@ge!, admin
EMC admin, root, sysadmin EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc
HP/3Com admin, root, vcx, app, spvar, manage, hpsupport, opc_op admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin
Huawei admin, root 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123
IBM USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer
Juniper netscreen netscreen
NetApp admin netapp123
Oracle root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user changeme, ilom-admin, ilom-operator, welcome1, oracle
VMware vi-admin, root, hqadmin, vmware, admin vmware, vmw@re, hqadmin, default

SSH-MitM

Se você estiver na mesma rede local que a vítima que vai se conectar ao servidor SSH usando nome de usuário e senha, você poderia tentar realizar um ataque MitM para roubar essas credenciais:

Caminho do ataque:

  • o tráfego do usuário é redirecionado para a máquina atacante
  • o atacante monitora tentativas de conexão com o servidor SSH e as redireciona para o seu próprio servidor SSH
  • o servidor SSH do atacante é configurado, em primeiro lugar, para registrar todos os dados inseridos, incluindo a senha do usuário, e, em segundo lugar, enviar comandos para o servidor SSH legítimo ao qual o usuário deseja se conectar, para executá-los, e então retornar os resultados para o usuário legítimo

SSH MITM faz exatamente o que está descrito acima.

Para capturar e realizar o MitM real, você poderia usar técnicas como ARP spoofing, DNS spoofing ou outras descritas em Ataques de Spoofing de Rede.

SSH-Snake

Se você quiser atravessar uma rede usando chaves privadas SSH descobertas em sistemas, utilizando cada chave privada em cada sistema para novos hosts, então SSH-Snake é o que você precisa.

SSH-Snake executa as seguintes tarefas automaticamente e recursivamente:

  1. No sistema atual, encontre quaisquer chaves privadas SSH,
  2. No sistema atual, encontre quaisquer hosts ou destinos (usuário@host) que as chaves privadas possam ser aceitas,
  3. Tente se conectar via SSH a todos os destinos usando todas as chaves privadas descobertas,
  4. Se um destino for conectado com sucesso, repita os passos de #1 a #4 no sistema conectado.

É completamente auto-replicante e auto-propagante -- e completamente sem arquivos.

Configurações Incorretas

Login como Root

Por padrão, a maioria das implementações de servidores SSH permite o login como root, é aconselhável desativá-lo porque se as credenciais desta conta vazarem, os atacantes obterão privilégios administrativos diretamente e isso também permitirá que os atacantes conduzam ataques de força bruta nesta conta.

Como desativar o login como root para openSSH:

  1. Edite a configuração do servidor SSH sudoedit /etc/ssh/sshd_config
  2. Altere #PermitRootLogin yes para PermitRootLogin no
  3. Leve em conta as alterações de configuração: sudo systemctl daemon-reload
  4. Reinicie o servidor SSH sudo systemctl restart sshd

Força Bruta SFTP

Execução de comando SFTP

Outra configuração incorreta comum do SSH é frequentemente vista na configuração do SFTP. Na maioria das vezes, ao criar um servidor SFTP, o administrador quer que os usuários tenham acesso ao SFTP para compartilhar arquivos, mas não para obter um shell remoto na máquina. Então eles pensam que criar um usuário, atribuindo-lhe um shell substituto (como /usr/bin/nologin ou /usr/bin/false) e confinando-o em uma prisão é suficiente para evitar o acesso ao shell ou abuso em todo o sistema de arquivos. Mas eles estão enganados, um usuário pode pedir para executar um comando logo após a autenticação antes que seu comando padrão ou shell seja executado. Portanto, para contornar o shell substituto que negará o acesso ao shell, basta pedir para executar um comando (por exemplo, /bin/bash) antes, apenas fazendo:

ssh -v noraj@192.168.1.94 id
...
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending command: id
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
uid=1000(noraj) gid=100(users) groups=100(users)
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
Bytes per second: sent 43133.4, received 44349.5
debug1: Exit status 0

$ ssh noraj@192.168.1.94 /bin/bash

Aqui está um exemplo de configuração segura de SFTP (/etc/ssh/sshd_config openSSH) para o usuário noraj:

Match User noraj
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PermitTTY no

Esta configuração permitirá apenas SFTP: desabilitando o acesso ao shell ao forçar o comando de início e desabilitando o acesso TTY, mas também desabilitando todo tipo de encaminhamento de porta ou tunelamento.

Tunelamento SFTP

Se você tem acesso a um servidor SFTP, você também pode tunelar seu tráfego através deste, por exemplo, usando o encaminhamento de porta comum:

sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>

O sftp possui o comando "symlink". Portanto, se você tem direitos de escrita em alguma pasta, você pode criar symlinks de outras pastas/arquivos. Como você provavelmente está preso dentro de um chroot, isso não será especialmente útil para você, mas, se você puder acessar o symlink criado a partir de um serviço sem chroot (por exemplo, se você pode acessar o symlink pela web), você poderia abrir os arquivos vinculados através da web.

Por exemplo, para criar um symlink de um novo arquivo "froot" para "/":

sftp> symlink / froot

Se você pode acessar o arquivo "froot" via web, você será capaz de listar a pasta raiz ("/") do sistema.

Métodos de autenticação

Em ambientes de alta segurança, é comum a prática de habilitar apenas autenticação baseada em chave ou autenticação de dois fatores em vez da simples autenticação baseada em senha. No entanto, muitas vezes os métodos de autenticação mais fortes são habilitados sem desativar os mais fracos. Um caso frequente é habilitar publickey na configuração do openSSH e definí-lo como o método padrão, mas não desabilitar password. Assim, usando o modo verboso do cliente SSH, um atacante pode ver que um método mais fraco está habilitado:

ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive

Por exemplo, se um limite de falhas de autenticação estiver definido e você nunca tiver a chance de alcançar o método de senha, você pode usar a opção PreferredAuthentications para forçar o uso deste método.

ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password

Revisar a configuração do servidor SSH é necessário para verificar que apenas métodos esperados estão autorizados. Usar o modo verboso no cliente pode ajudar a ver a eficácia da configuração.

Arquivos de configuração

ssh_config
sshd_config
authorized_keys
ssh_known_hosts
known_hosts
id_rsa

Fuzzing

Referências

Se você tem interesse em carreira de hacking e em hackear o inquebrável - estamos contratando! (é necessário polonês fluente, escrito e falado).

{% embed url="https://www.stmcyber.com/careers" %}

Comandos Automáticos HackTricks

Protocol_Name: SSH
Port_Number: 22
Protocol_Description: Secure Shell Hardening

Entry_1:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh

Entry_2:
Name: consolesless mfs enumeration
Description: SSH enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'

Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks: