hacktricks/network-services-pentesting/pentesting-ssh.md

341 lines
23 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 22 - Pentesting SSH/SFTP
<details>
<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Experto en Red Team de AWS de HackTricks)</strong></a><strong>!</strong></summary>
Otras formas de apoyar a HackTricks:
* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén la [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.
</details>
<figure><img src="../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**Consejo de recompensa por errores**: **regístrate** en **Intigriti**, una plataforma premium de **recompensas por errores creada por hackers, para hackers**. ¡Únete a nosotros en [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoy y comienza a ganar recompensas de hasta **$100,000**!
{% embed url="https://go.intigriti.com/hacktricks" %}
## Información Básica
**SSH (Secure Shell o Secure Socket Shell)** es un protocolo de red que permite una conexión segura a una computadora a través de una red no segura. Es esencial para mantener la confidencialidad e integridad de los datos al acceder a sistemas remotos.
**Puerto predeterminado:** 22
```
22/tcp open ssh syn-ack
```
**Servidores SSH:**
* [openSSH](http://www.openssh.org) SSH de OpenBSD, incluido en BSD, distribuciones de Linux y Windows desde Windows 10
* [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) Implementación de SSH para entornos con recursos de memoria y procesador limitados, incluido en OpenWrt
* [PuTTY](https://www.chiark.greenend.org.uk/\~sgtatham/putty/) Implementación de SSH para Windows, el cliente se usa comúnmente pero el uso del servidor es menos común
* [CopSSH](https://www.itefix.net/copssh) Implementación de OpenSSH para Windows
**Bibliotecas SSH (implementando en el lado del servidor):**
* [libssh](https://www.libssh.org) Biblioteca C multiplataforma que implementa el protocolo SSHv2 con enlaces en [Python](https://github.com/ParallelSSH/ssh-python), [Perl](https://github.com/garnier-quentin/perl-libssh/) y [R](https://github.com/ropensci/ssh); es utilizada por KDE para sftp y por GitHub para la infraestructura de git SSH
* [wolfSSH](https://www.wolfssl.com/products/wolfssh/) Biblioteca de servidor SSHv2 escrita en ANSI C y dirigida a entornos integrados, RTOS y con recursos limitados
* [Apache MINA SSHD](https://mina.apache.org/sshd-project/index.html) La biblioteca java Apache SSHD se basa en Apache MINA
* [paramiko](https://github.com/paramiko/paramiko) Biblioteca de protocolo Python SSHv2
## Enumeración
### Captura de banners
```bash
nc -vn <IP> 22
```
### Auditoría automatizada de ssh-audit
ssh-audit es una herramienta para auditar la configuración del servidor y cliente SSH.
[https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit) es un fork actualizado de [https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/)
**Características:**
* Soporte para servidores SSH1 y SSH2;
* analizar la configuración del cliente SSH;
* obtener el banner, reconocer dispositivo o software y sistema operativo, detectar compresión;
* recopilar algoritmos de intercambio de claves, claves de host, cifrado y códigos de autenticación de mensajes;
* información de algoritmos de salida (disponibles desde, eliminados/desactivados, inseguros/débiles/obsoletos, etc);
* recomendaciones de algoritmos de salida (añadir o eliminar según la versión de software reconocida);
* información de seguridad de salida (problemas relacionados, lista de CVE asignados, etc);
* analizar la compatibilidad de versiones de SSH basada en la información del algoritmo;
* información histórica de OpenSSH, Dropbear SSH y libssh;
* funciona en Linux y Windows;
* sin dependencias
```bash
usage: ssh-audit.py [-1246pbcnjvlt] <host>
-1, --ssh1 force ssh version 1 only
-2, --ssh2 force ssh version 2 only
-4, --ipv4 enable IPv4 (order of precedence)
-6, --ipv6 enable IPv6 (order of precedence)
-p, --port=<port> port to connect
-b, --batch batch output
-c, --client-audit starts a server on port 2222 to audit client
software config (use -p to change port;
use -t to change timeout)
-n, --no-colors disable colors
-j, --json JSON output
-v, --verbose verbose output
-l, --level=<level> minimum output level (info|warn|fail)
-t, --timeout=<secs> timeout (in seconds) for connection and reading
(default: 5)
$ python3 ssh-audit <IP>
```
### Clave pública SSH del servidor
[Ver en acción (Asciinema)](https://asciinema.org/a/96ejZKxpbuupTK9j7h8BdClzp)
```bash
ssh-keyscan -t rsa <IP> -p <PORT>
```
### Algoritmos de cifrado débiles
Esto se descubre de forma predeterminada con **nmap**. Pero también puedes usar **sslcan** o **sslyze**.
### Scripts de Nmap
```bash
nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods
```
### Shodan
* `ssh`
## Fuerza bruta de nombres de usuario, contraseñas y claves privadas
### Enumeración de nombres de usuario
En algunas versiones de OpenSSH, puedes realizar un ataque de temporización para enumerar usuarios. Puedes utilizar un módulo de Metasploit para explotar esto:
```
msf> use scanner/ssh/ssh_enumusers
```
### [Fuerza bruta](../generic-methodologies-and-resources/brute-force.md#ssh)
Algunas credenciales ssh comunes [aquí](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt) y [aquí](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt) y abajo.
### Fuerza bruta de clave privada
Si conoces algunas claves privadas ssh que podrían ser utilizadas... vamos a intentarlo. Puedes usar el script de nmap:
```
https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html
```
O el módulo auxiliar de MSF:
```
msf> use scanner/ssh/ssh_identify_pubkeys
```
O utiliza `ssh-keybrute.py` (nativo en python3, ligero y con algoritmos heredados habilitados): [snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute).
#### Se pueden encontrar claves malas conocidas aquí:
{% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %}
#### Claves SSH débiles / PRNG predecible de Debian
Algunos sistemas tienen fallos conocidos en la semilla aleatoria utilizada para generar material criptográfico. Esto puede resultar en un espacio de claves dramáticamente reducido que puede ser objeto de fuerza bruta. Conjuntos pregenerados de claves generadas en sistemas Debian afectados por un PRNG débil están disponibles aquí: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh).
Deberías buscar aquí para buscar claves válidas para la máquina víctima.
### Kerberos
**crackmapexec** utilizando el protocolo `ssh` puede usar la opción `--kerberos` para **autenticar a través de kerberos**.\
Para más información ejecuta `crackmapexec ssh --help`.
## Credenciales por defecto
| **Proveedor** | **Nombres de usuario** | **Contraseñas** |
| -------------- | ----------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| APC | apc, device | apc |
| Brocade | admin | admin123, password, brocade, fibranne |
| Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, \_Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change\_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
| Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler |
| D-Link | admin, user | private, admin, user |
| Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin |
| EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc |
| HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc\_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC\_op, !manage, !admin |
| Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 |
| IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer |
| Juniper | netscreen | netscreen |
| NetApp | admin | netapp123 |
| Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle |
| VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default |
## SSH-MitM
Si estás en la red local como la víctima que se va a conectar al servidor SSH usando nombre de usuario y contraseña, podrías intentar **realizar un ataque MitM para robar esas credenciales:**
**Ruta del ataque:**
* **Redirección de tráfico:** El atacante **desvía** el tráfico de la víctima a su máquina, interceptando efectivamente el intento de conexión al servidor SSH.
* **Intercepción y registro:** La máquina del atacante actúa como un **proxy**, **capturando** los detalles de inicio de sesión del usuario al pretender ser el servidor SSH legítimo.
* **Ejecución de comandos y retransmisión:** Finalmente, el servidor del atacante **registra las credenciales del usuario**, **reenvía los comandos** al verdadero servidor SSH, los **ejecuta** y **envía los resultados de vuelta** al usuario, haciendo que el proceso parezca fluido y legítimo.
[**SSH MITM**](https://github.com/jtesta/ssh-mitm) hace exactamente lo descrito anteriormente.
Para capturar y realizar el MitM real, podrías utilizar técnicas como el envenenamiento ARP, el envenenamiento DNS u otras descritas en los [**ataques de suplantación de red**](../generic-methodologies-and-resources/pentesting-network/#spoofing).
## SSH-Snake
Si deseas recorrer una red utilizando claves privadas SSH descubiertas en sistemas, utilizando cada clave privada en cada sistema para nuevos hosts, entonces [**SSH-Snake**](https://github.com/MegaManSec/SSH-Snake) es lo que necesitas.
SSH-Snake realiza automáticamente y de forma recursiva las siguientes tareas:
1. En el sistema actual, encuentra cualquier clave privada SSH,
2. En el sistema actual, encuentra cualquier host o destino (usuario@host) que pueda aceptar las claves privadas,
3. Intenta conectarse por SSH a todos los destinos utilizando todas las claves privadas descubiertas,
4. Si se logra conectar a un destino, repite los pasos #1 - #4 en el sistema conectado.
Es completamente auto-replicante y auto-propagante, y completamente sin archivos.
## Configuraciones incorrectas de la configuración
### Inicio de sesión de root
Es común que los servidores SSH permitan el inicio de sesión del usuario root de forma predeterminada, lo que representa un riesgo de seguridad significativo. **Desactivar el inicio de sesión de root** es un paso crítico para asegurar el servidor. El acceso no autorizado con privilegios administrativos y los ataques de fuerza bruta pueden mitigarse realizando este cambio.
**Para desactivar el inicio de sesión de root en OpenSSH:**
1. **Edita el archivo de configuración de SSH** con: `sudoedit /etc/ssh/sshd_config`
2. **Cambia la configuración** de `#PermitRootLogin yes` a **`PermitRootLogin no`**.
3. **Recarga la configuración** usando: `sudo systemctl daemon-reload`
4. **Reinicia el servidor SSH** para aplicar los cambios: `sudo systemctl restart sshd`
### Fuerza Bruta SFTP
* [**Fuerza Bruta SFTP**](../generic-methodologies-and-resources/brute-force.md#sftp)
### Ejecución de comandos SFTP
A menudo se produce un descuido común con las configuraciones de SFTP, donde los administradores pretenden que los usuarios intercambien archivos sin habilitar el acceso a la shell remota. A pesar de configurar a los usuarios con shells no interactivas (por ejemplo, `/usr/bin/nologin`) y confinarlos a un directorio específico, queda un vacío de seguridad. **Los usuarios pueden eludir estas restricciones** solicitando la ejecución de un comando (como `/bin/bash`) inmediatamente después de iniciar sesión, antes de que su shell no interactiva designada tome el control. Esto permite la ejecución de comandos no autorizados, socavando las medidas de seguridad previstas.
[Ejemplo de aquí](https://community.turgensec.com/ssh-hacking-guide/):
```bash
ssh -v noraj@192.168.1.94 id
...
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending command: id
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
uid=1000(noraj) gid=100(users) groups=100(users)
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
Bytes per second: sent 43133.4, received 44349.5
debug1: Exit status 0
$ ssh noraj@192.168.1.94 /bin/bash
```
Aquí tienes un ejemplo de configuración segura de SFTP (`/etc/ssh/sshd_config` - openSSH) para el usuario `noraj`:
```
Match User noraj
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PermitTTY no
```
Esta configuración permitirá solo SFTP: deshabilitando el acceso al shell forzando el comando de inicio y deshabilitando el acceso TTY, pero también deshabilitando todo tipo de reenvío de puertos o túneles.
### Túneles SFTP
Si tienes acceso a un servidor SFTP, también puedes canalizar tu tráfico a través de este, por ejemplo, utilizando el reenvío de puertos común:
```bash
sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>
```
### SFTP Symlink
El **sftp** tiene el comando "**symlink**". Por lo tanto, si tienes **derechos de escritura** en alguna carpeta, puedes crear **enlaces simbólicos** de **otras carpetas/archivos**. Dado que probablemente estés **atrapado** dentro de un chroot, esto **no será especialmente útil** para ti, pero, si puedes **acceder** al **enlace simbólico** creado desde un **servicio sin chroot** (por ejemplo, si puedes acceder al enlace simbólico desde la web), podrías **abrir los archivos enlazados a través de la web**.
Por ejemplo, para crear un **enlace simbólico** desde un nuevo archivo **"**_**froot**_**" a "**_**/**_**"**:
```bash
sftp> symlink / froot
```
Si puedes acceder al archivo "_froot_" a través de la web, podrás listar la carpeta raíz ("/") del sistema.
### Métodos de autenticación
En entornos de alta seguridad, es una práctica común habilitar solo la autenticación basada en clave o de dos factores en lugar de la autenticación basada en contraseña simple. Sin embargo, a menudo se habilitan los métodos de autenticación más fuertes sin deshabilitar los más débiles. Un caso frecuente es habilitar `publickey` en la configuración de openSSH y establecerlo como el método predeterminado, pero sin deshabilitar `password`. Por lo tanto, utilizando el modo detallado del cliente SSH, un atacante puede ver que se ha habilitado un método más débil:
```bash
ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d 10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive
```
Por ejemplo, si se establece un límite de fallos de autenticación y nunca tienes la oportunidad de llegar al método de contraseña, puedes usar la opción `PreferredAuthentications` para forzar el uso de este método.
```bash
ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password
```
Revisar la configuración del servidor SSH es necesario para verificar que solo se autorizan los métodos esperados. Usar el modo detallado en el cliente puede ayudar a ver la efectividad de la configuración.
### Archivos de configuración
```bash
ssh_config
sshd_config
authorized_keys
ssh_known_hosts
known_hosts
id_rsa
```
## Fuzzing
* [https://packetstormsecurity.com/files/download/71252/sshfuzz.txt](https://packetstormsecurity.com/files/download/71252/sshfuzz.txt)
* [https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2](https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2)
## Referencias
* Puedes encontrar guías interesantes sobre cómo endurecer SSH en [https://www.ssh-audit.com/hardening\_guides.html](https://www.ssh-audit.com/hardening\_guides.html)
* [https://community.turgensec.com/ssh-hacking-guide](https://community.turgensec.com/ssh-hacking-guide)
<figure><img src="../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**Consejo de recompensa por errores**: **Regístrate** en **Intigriti**, una plataforma premium de **recompensas por errores creada por hackers, para hackers**. ¡Únete a nosotros en [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoy y comienza a ganar recompensas de hasta **$100,000**!
{% embed url="https://go.intigriti.com/hacktricks" %}
## Comandos Automáticos de HackTricks
```
Protocol_Name: SSH
Port_Number: 22
Protocol_Description: Secure Shell Hardening
Entry_1:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh
Entry_2:
Name: consolesless mfs enumeration
Description: SSH enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'
```
<details>
<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Experto en Red Team de AWS de HackTricks)</strong></a><strong>!</strong></summary>
Otras formas de apoyar a HackTricks:
* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén la [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.
</details>