hacktricks/network-services-pentesting/pentesting-ssh.md

27 KiB

22 - Pentesting SSH/SFTP

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Si estás interesado en una carrera de hacking y hackear lo imposible - ¡estamos contratando! (se requiere fluidez en polaco escrito y hablado).

{% embed url="https://www.stmcyber.com/careers" %}

Información básica

SSH o Secure Shell o Secure Socket Shell, es un protocolo de red que proporciona a los usuarios una forma segura de acceder a una computadora a través de una red no segura.

Puerto predeterminado: 22

22/tcp open  ssh     syn-ack

Servidores SSH:

  • openSSH - SSH de OpenBSD, incluido en distribuciones BSD, Linux y Windows desde Windows 10.
  • Dropbear - Implementación de SSH para entornos con pocos recursos de memoria y procesador, incluido en OpenWrt.
  • PuTTY - Implementación de SSH para Windows, el cliente se utiliza comúnmente pero el uso del servidor es menos frecuente.
  • CopSSH - Implementación de OpenSSH para Windows.

Bibliotecas SSH (implementando el lado del servidor):

  • libssh - Biblioteca C multiplataforma que implementa el protocolo SSHv2 con enlaces en Python, Perl y R; es utilizada por KDE para sftp y por GitHub para la infraestructura de SSH de git.
  • wolfSSH - Biblioteca de servidor SSHv2 escrita en ANSI C y dirigida a entornos integrados, RTOS y con recursos limitados.
  • Apache MINA SSHD - La biblioteca de Java Apache SSHD se basa en Apache MINA.
  • paramiko - Biblioteca de protocolo SSHv2 para Python.

Enumeración

Obtención de banners

nc -vn <IP> 22

Auditoría automatizada de ssh-audit

ssh-audit es una herramienta para auditar la configuración del servidor y cliente ssh.

https://github.com/jtesta/ssh-audit es un fork actualizado de https://github.com/arthepsy/ssh-audit/

Características:

  • Soporte para servidores SSH1 y SSH2;
  • Analiza la configuración del cliente SSH;
  • Obtiene el banner, reconoce el dispositivo o software y el sistema operativo, detecta la compresión;
  • Recopila algoritmos de intercambio de claves, claves de host, cifrado y códigos de autenticación de mensajes;
  • Muestra información sobre los algoritmos (disponibles desde, eliminados/desactivados, inseguros/débiles/obsoletos, etc.);
  • Ofrece recomendaciones sobre los algoritmos (añadir o eliminar según la versión del software reconocido);
  • Muestra información de seguridad (problemas relacionados, lista de CVE asignados, etc.);
  • Analiza la compatibilidad de la versión de SSH en función de la información del algoritmo;
  • Proporciona información histórica de OpenSSH, Dropbear SSH y libssh;
  • Funciona en Linux y Windows;
  • No tiene dependencias.
usage: ssh-audit.py [-1246pbcnjvlt] <host>

-1,  --ssh1             force ssh version 1 only
-2,  --ssh2             force ssh version 2 only
-4,  --ipv4             enable IPv4 (order of precedence)
-6,  --ipv6             enable IPv6 (order of precedence)
-p,  --port=<port>      port to connect
-b,  --batch            batch output
-c,  --client-audit     starts a server on port 2222 to audit client
software config (use -p to change port;
use -t to change timeout)
-n,  --no-colors        disable colors
-j,  --json             JSON output
-v,  --verbose          verbose output
-l,  --level=<level>    minimum output level (info|warn|fail)
-t,  --timeout=<secs>   timeout (in seconds) for connection and reading
(default: 5)
$ python3 ssh-audit <IP>

Clave pública SSH del servidor

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDZz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6
```bash
ssh-keyscan -t rsa <IP> -p <PORT>

Algoritmos de cifrado débiles

Esto se descubre de forma predeterminada con nmap. Pero también puedes usar sslscan o sslyze.

Scripts de Nmap

nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods

Shodan

  • ssh

Fuerza bruta de nombres de usuario, contraseñas y claves privadas

Enumeración de nombres de usuario

En algunas versiones de OpenSSH, puedes realizar un ataque de tiempo para enumerar usuarios. Puedes utilizar un módulo de Metasploit para explotar esto:

msf> use scanner/ssh/ssh_enumusers

Fuerza bruta

Algunas credenciales comunes de ssh aquí y aquí y a continuación.

Fuerza Bruta de Clave Privada

Si conoces algunas claves privadas de ssh que podrían ser utilizadas... vamos a intentarlo. Puedes usar el script de nmap:

https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html

O el módulo auxiliar de MSF:

msf> use scanner/ssh/ssh_identify_pubkeys

O utiliza ssh-keybrute.py (python3 nativo, ligero y con algoritmos heredados habilitados): snowdroppe/ssh-keybrute.

Aquí se pueden encontrar claves malas conocidas:

{% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %}

Claves SSH débiles / PRNG predecible de Debian

Algunos sistemas tienen fallos conocidos en la semilla aleatoria utilizada para generar material criptográfico. Esto puede resultar en un espacio de claves dramáticamente reducido que puede ser objeto de fuerza bruta. Conjuntos pregenerados de claves generadas en sistemas Debian afectados por un PRNG débil están disponibles aquí: g0tmi1k/debian-ssh.

Deberías buscar aquí para buscar claves válidas para la máquina víctima.

Kerberos

crackmapexec utilizando el protocolo ssh puede utilizar la opción --kerberos para autenticarse a través de Kerberos.
Para obtener más información, ejecuta crackmapexec ssh --help.

Credenciales predeterminadas

Proveedor Nombres de usuario Contraseñas
APC apc, device apc
Brocade admin admin123, password, brocade, fibranne
Cisco admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme
Citrix root, nsroot, nsmaint, vdiadmin, kvm, cli, admin C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler
D-Link admin, user private, admin, user
Dell root, user1, admin, vkernel, cli calvin, 123456, password, vkernel, Stor@ge!, admin
EMC admin, root, sysadmin EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc
HP/3Com admin, root, vcx, app, spvar, manage, hpsupport, opc_op admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin
Huawei admin, root 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123
IBM USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer
Juniper netscreen netscreen
NetApp admin netapp123
Oracle root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user changeme, ilom-admin, ilom-operator, welcome1, oracle
VMware vi-admin, root, hqadmin, vmware, admin vmware, vmw@re, hqadmin, default

SSH-MitM

Si estás en la red local como la víctima que va a conectarse al servidor SSH utilizando un nombre de usuario y una contraseña, podrías intentar realizar un ataque MitM para robar esas credenciales:

Ruta del ataque:

  • el tráfico del usuario se redirige a la máquina atacante
  • el atacante monitoriza los intentos de conexión al servidor SSH y los redirige a su servidor SSH
  • el servidor SSH del atacante está configurado, en primer lugar, para registrar todos los datos introducidos, incluyendo la contraseña del usuario, y, en segundo lugar, para enviar comandos al servidor SSH legítimo al que el usuario quiere conectarse, para ejecutarlos y luego devolver los resultados al usuario legítimo

****SSH MITM **** hace exactamente lo que se describe anteriormente.

Para capturar y realizar el MitM real, podrías utilizar técnicas como el ARP spoofing, el DNS spoofing u otras descritas en los ataques de suplantación de red.

Configuraciones incorrectas de la configuración

Inicio de sesión de root

Por defecto, la mayoría de las implementaciones de servidores SSH permitirán el inicio de sesión de root, se recomienda desactivarlo porque si las credenciales de esta cuenta se filtran, los atacantes obtendrán privilegios administrativos directamente y esto también permitirá a los atacantes realizar ataques de fuerza bruta en esta cuenta.

Cómo desactivar el inicio de sesión de root para openSSH:

  1. Editar la configuración del servidor SSH sudoedit /etc/ssh/sshd_config
  2. Cambiar #PermitRootLogin yes por PermitRootLogin no
  3. Tener en cuenta los cambios de configuración: sudo systemctl daemon-reload
  4. Reiniciar el servidor SSH sudo systemctl restart sshd

Ejecución de comandos SFTP

Otra configuración incorrecta común de SSH se ve a menudo en la configuración de SFTP. La mayoría de las veces, al crear un servidor SFTP, el administrador quiere que los usuarios tengan acceso a SFTP para compartir archivos, pero no para obtener una shell remota en la máquina. Así que piensan que crear un usuario, asignarle una shell de marcador de posición (como /usr/bin/nologin o /usr/bin/false) y encarcelarlo en una cárcel es suficiente para evitar el acceso a una shell o el abuso de todo el sistema de archivos. Pero están equivocados, un usuario puede solicitar ejecutar un comando justo después de la autenticación antes de que se ejecute su comando o shell predeterminado. Así que para evitar la shell de marcador de posición que denegará el acceso a la shell, solo hay que pedir que se ejecute un comando (por ejemplo, /bin/bash) antes, simplemente haciendo:

$ ssh -v noraj@192.168.1.94 id
...
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending command: id
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
uid=1000(noraj) gid=100(users) groups=100(users)
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
Bytes per second: sent 43133.4, received 44349.5
debug1: Exit status 0

$ ssh noraj@192.168.1.94 /bin/bash

Aquí tienes un ejemplo de configuración segura de SFTP (/etc/ssh/sshd_config - openSSH) para el usuario noraj:

# Permitir solo SFTP y deshabilitar el acceso SSH
Subsystem sftp internal-sftp

Match User noraj
    ForceCommand internal-sftp
    PasswordAuthentication yes
    ChrootDirectory /home/noraj
    PermitTunnel no
    AllowAgentForwarding no
    AllowTcpForwarding no
    X11Forwarding no

Esta configuración asegura que el usuario noraj solo pueda acceder a través de SFTP y no tenga acceso SSH. Además, se habilita la autenticación por contraseña, se establece el directorio raíz en /home/noraj y se deshabilitan las opciones de túnel, reenvío de agente, reenvío TCP y reenvío X11.

Match User noraj
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PermitTTY no

Esta configuración permitirá solo SFTP: deshabilitando el acceso al shell forzando el comando de inicio y deshabilitando el acceso TTY, pero también deshabilitando todo tipo de reenvío de puertos o túneles.

Túneles SFTP

Si tienes acceso a un servidor SFTP, también puedes tunelizar tu tráfico a través de este, por ejemplo, utilizando el reenvío de puertos común:

sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>

El sftp tiene el comando "symlink". Por lo tanto, si tienes permisos de escritura en alguna carpeta, puedes crear enlaces simbólicos de otras carpetas/archivos. Como probablemente estés atrapado dentro de un chroot, esto no será especialmente útil para ti, pero si puedes acceder al enlace simbólico creado desde un servicio sin chroot (por ejemplo, si puedes acceder al enlace simbólico desde la web), podrías abrir los archivos enlazados a través de la web.

Por ejemplo, para crear un enlace simbólico desde un nuevo archivo "froot" a "/":

sftp> symlink / froot

Si puedes acceder al archivo "froot" a través de la web, podrás listar la carpeta raíz ("/") del sistema.

Métodos de autenticación

En entornos de alta seguridad, es común habilitar solo la autenticación basada en clave o de dos factores en lugar de la autenticación simple basada en contraseña. Sin embargo, a menudo se habilitan los métodos de autenticación más fuertes sin deshabilitar los más débiles. Un caso frecuente es habilitar publickey en la configuración de openSSH y establecerlo como el método predeterminado, pero no deshabilitar password. Por lo tanto, utilizando el modo detallado del cliente SSH, un atacante puede ver que se ha habilitado un método más débil:

$ ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive

Por ejemplo, si se establece un límite de fallos de autenticación y nunca tienes la oportunidad de llegar al método de contraseña, puedes usar la opción PreferredAuthentications para forzar el uso de este método.

$ ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password

Revisar la configuración del servidor SSH es necesario para verificar que solo se autorizan los métodos esperados. Usar el modo verbose en el cliente puede ayudar a ver la efectividad de la configuración.

Archivos de configuración

ssh_config
sshd_config
authorized_keys
ssh_known_hosts
known_hosts
id_rsa

Fuzzing

Referencias

Si estás interesado en una carrera de hacking y hackear lo imposible - ¡estamos contratando! (se requiere fluidez en polaco, tanto escrito como hablado).

{% embed url="https://www.stmcyber.com/careers" %}

Comandos Automáticos de HackTricks

Protocol_Name: SSH
Port_Number: 22
Protocol_Description: Secure Shell Hardening

Entry_1:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 -u {IP} ssh

Entry_2:
Name: consolesless mfs enumeration
Description: SSH enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥