24 KiB
22 - Pentesting SSH/SFTP
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e hacktricks-cloud repo.
Se você está interessado em carreira de hacking e hackear o impossível - estamos contratando! (fluência em polonês escrita e falada é necessária).
{% embed url="https://www.stmcyber.com/careers" %}
Informações Básicas
SSH ou Secure Shell ou Secure Socket Shell, é um protocolo de rede que oferece aos usuários uma maneira segura de acessar um computador em uma rede não segura.
Porta padrão: 22
22/tcp open ssh syn-ack
Servidores SSH:
- openSSH - SSH OpenBSD, incluído em distribuições BSD, Linux e Windows desde o Windows 10
- Dropbear - Implementação SSH para ambientes com baixa memória e recursos de processador, incluído no OpenWrt
- PuTTY - Implementação SSH para Windows, o cliente é comumente usado, mas o uso do servidor é mais raro
- CopSSH - Implementação do OpenSSH para Windows
Bibliotecas SSH (implementando o lado do servidor):
- libssh - Biblioteca C multiplataforma que implementa o protocolo SSHv2 com ligações em Python, Perl e R; é usado pelo KDE para sftp e pelo GitHub para a infraestrutura git SSH
- wolfSSH - Biblioteca do servidor SSHv2 escrita em ANSI C e direcionada para ambientes incorporados, RTOS e com recursos limitados
- Apache MINA SSHD - A biblioteca Java Apache SSHD é baseada no Apache MINA
- paramiko - Biblioteca de protocolo Python SSHv2
Enumeração
Banner Grabbing
nc -vn <IP> 22
Auditoria automatizada de ssh-audit
ssh-audit é uma ferramenta para auditoria de configuração de servidor e cliente ssh.
https://github.com/jtesta/ssh-audit é um fork atualizado de https://github.com/arthepsy/ssh-audit/
Recursos:
- Suporte a servidor SSH1 e SSH2;
- analisar a configuração do cliente SSH;
- obter banner, reconhecer dispositivo ou software e sistema operacional, detectar compressão;
- coletar algoritmos de troca de chave, chave de host, criptografia e código de autenticação de mensagem;
- informações de algoritmo de saída (disponível desde, removido/desativado, inseguro/fraco/legado, etc);
- recomendações de algoritmo de saída (adicionar ou remover com base na versão de software reconhecida);
- informações de segurança de saída (questões relacionadas, lista de CVE atribuída, etc);
- analisar a compatibilidade da versão SSH com base nas informações do algoritmo;
- informações históricas do OpenSSH, Dropbear SSH e libssh;
- funciona no Linux e no Windows;
- sem dependências.
usage: ssh-audit.py [-1246pbcnjvlt] <host>
-1, --ssh1 force ssh version 1 only
-2, --ssh2 force ssh version 2 only
-4, --ipv4 enable IPv4 (order of precedence)
-6, --ipv6 enable IPv6 (order of precedence)
-p, --port=<port> port to connect
-b, --batch batch output
-c, --client-audit starts a server on port 2222 to audit client
software config (use -p to change port;
use -t to change timeout)
-n, --no-colors disable colors
-j, --json JSON output
-v, --verbose verbose output
-l, --level=<level> minimum output level (info|warn|fail)
-t, --timeout=<secs> timeout (in seconds) for connection and reading
(default: 5)
$ python3 ssh-audit <IP>
Chave pública SSH do servidor
Para se conectar a um servidor SSH, é necessário ter a chave pública do servidor. Essa chave é usada para autenticar o servidor e garantir que a conexão seja segura. A chave pública do servidor geralmente é armazenada no arquivo authorized_keys no diretório .ssh do usuário no servidor. Para obter a chave pública do servidor, você pode usar o comando ssh-keyscan e especificar o nome do host ou o endereço IP do servidor. Por exemplo:
ssh-keyscan example.com
Isso retornará a chave pública do servidor example.com. Certifique-se de verificar a autenticidade da chave pública antes de usá-la para se conectar ao servidor.
ssh-keyscan -t rsa <IP> -p <PORT>
Algoritmos de Cifra Fracos
Isso é descoberto por padrão pelo nmap. Mas você também pode usar o sslscan ou sslyze.
Scripts do Nmap
nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods
Shodan
ssh
Força bruta de nomes de usuário, senhas e chaves privadas
Enumeração de nomes de usuário
Em algumas versões do OpenSSH, é possível realizar um ataque de tempo para enumerar usuários. Você pode usar um módulo do Metasploit para explorar isso:
msf> use scanner/ssh/ssh_enumusers
Força bruta
Algumas credenciais comuns do ssh podem ser encontradas aqui e aqui e abaixo.
Força Bruta de Chave Privada
Se você conhece algumas chaves privadas do ssh que podem ser usadas... vamos tentar. Você pode usar o script do nmap:
https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html
Ou o módulo auxiliar do MSF:
msf> use scanner/ssh/ssh_identify_pubkeys
Ou use ssh-keybrute.py (python3 nativo, leve e com algoritmos legados habilitados): snowdroppe/ssh-keybrute.
Chaves ruins conhecidas podem ser encontradas aqui:
{% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %}
Chaves SSH fracas / PRNG previsível do Debian
Alguns sistemas têm falhas conhecidas na semente aleatória usada para gerar material criptográfico. Isso pode resultar em um espaço de chave dramaticamente reduzido que pode ser quebrado por força bruta. Conjuntos pré-gerados de chaves geradas em sistemas Debian afetados por PRNG fraco estão disponíveis aqui: g0tmi1k/debian-ssh.
Você deve procurar aqui para procurar chaves válidas para a máquina vítima.
Kerberos
crackmapexec usando o protocolo ssh pode usar a opção --kerberos para autenticar via kerberos.
Para mais informações, execute crackmapexec ssh --help.
Credenciais padrão
| Fabricante | Nomes de usuário | Senhas |
|---|---|---|
| APC | apc, device | apc |
| Brocade | admin | admin123, password, brocade, fibranne |
| Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
| Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler |
| D-Link | admin, user | private, admin, user |
| Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin |
| EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc |
| HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin |
| Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 |
| IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer |
| Juniper | netscreen | netscreen |
| NetApp | admin | netapp123 |
| Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle |
| VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default |
SSH-MitM
Se você estiver na rede local como a vítima que vai se conectar ao servidor SSH usando nome de usuário e senha, você pode tentar realizar um ataque MitM para roubar essas credenciais:
Caminho do ataque:
- o tráfego do usuário é redirecionado para a máquina atacante
- o atacante monitora as tentativas de conexão com o servidor SSH e as redireciona para seu servidor SSH
- o servidor SSH do atacante é configurado, em primeiro lugar, para registrar todos os dados inseridos, incluindo a senha do usuário, e, em segundo lugar, enviar comandos para o servidor SSH legítimo para o qual o usuário deseja se conectar, para executá-los e, em seguida, retornar os resultados para o usuário legítimo
****SSH MITM **** faz exatamente o que é descrito acima.
Para capturar realizar o MitM real, você pode usar técnicas como ARP spoofing, DNS spoofing ou outras descritas em Ataques de Spoofing de Rede.
Configurações incorretas de configuração
Login root
Por padrão, a maioria das implementações de servidor SSH permitirá o login root, é aconselhável desativá-lo porque se as credenciais dessa conta vazarem, os invasores obterão privilégios administrativos diretamente e isso também permitirá que os invasores realizem ataques de força bruta nessa conta.
Como desativar o login root para o openSSH:
- Edite a configuração do servidor SSH
sudoedit /etc/ssh/sshd_config - Altere
#PermitRootLogin yesparaPermitRootLogin no - Leve em consideração as alterações de configuração:
sudo systemctl daemon-reload - Reinicie o servidor SSH
sudo systemctl restart sshd
Execução de comando SFTP
Outra configuração incorreta comum do SSH é frequentemente vista na configuração do SFTP. Na maioria das vezes, ao criar um servidor SFTP, o administrador deseja que os usuários tenham acesso SFTP para compartilhar arquivos, mas não para obter um shell remoto na máquina. Então, eles pensam que criar um usuário, atribuir a ele um shell de espaço reservado (como /usr/bin/nologin ou /usr/bin/false) e chrooting ele em uma prisão é suficiente para evitar o acesso ou abuso de shell em todo o sistema de arquivos. Mas eles estão errados, um usuário pode solicitar a execução de um comando logo após a autenticação antes que seu comando ou shell padrão seja executado. Então, para contornar o shell de espaço reservado que negará o acesso ao shell, basta solicitar a execução de um comando (por exemplo, /bin/bash) antes, apenas fazendo:
$ ssh -v noraj@192.168.1.94 id
...
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending command: id
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
uid=1000(noraj) gid=100(users) groups=100(users)
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
Bytes per second: sent 43133.4, received 44349.5
debug1: Exit status 0
$ ssh noraj@192.168.1.94 /bin/bash
Aqui está um exemplo de configuração segura do SFTP (/etc/ssh/sshd_config - openSSH) para o usuário noraj:
Match User noraj
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PermitTTY no
Essa configuração permitirá apenas o SFTP: desabilitando o acesso ao shell forçando o comando de início e desabilitando o acesso TTY, mas também desabilitando todos os tipos de encaminhamento de porta ou túnel.
Túnel SFTP
Se você tem acesso a um servidor SFTP, também pode direcionar seu tráfego por meio dele, por exemplo, usando o encaminhamento de porta comum:
sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>
SFTP Symlink
O sftp tem o comando "symlink". Portanto, se você tem direitos de gravação em alguma pasta, pode criar links simbólicos de outras pastas/arquivos. Como você provavelmente está preso dentro de um chroot, isso não será especialmente útil para você, mas se você puder acessar o link simbólico criado a partir de um serviço sem chroot (por exemplo, se você puder acessar o link simbólico pela web), você pode abrir os arquivos linkados pela web.
Por exemplo, para criar um link simbólico de um novo arquivo "froot" para "/":
sftp> symlink / froot
Se você pode acessar o arquivo "froot" via web, você será capaz de listar a pasta raiz ("/") do sistema.
Métodos de autenticação
Em ambientes de alta segurança, é uma prática comum habilitar apenas autenticação baseada em chave ou autenticação de dois fatores em vez da autenticação baseada em senha simples. Mas muitas vezes, os métodos de autenticação mais fortes são habilitados sem desabilitar os mais fracos. Um caso frequente é habilitar publickey na configuração do openSSH e defini-lo como o método padrão, mas não desabilitar password. Então, usando o modo verbose do cliente SSH, um invasor pode ver que um método mais fraco está habilitado:
$ ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d 10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive
Por exemplo, se um limite de falha de autenticação estiver definido e você nunca tiver a chance de chegar ao método de senha, você pode usar a opção PreferredAuthentications para forçar o uso desse método.
$ ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password
Revisar a configuração do servidor SSH é necessário para verificar se apenas os métodos esperados estão autorizados. Usar o modo verbose no cliente pode ajudar a ver a efetividade da configuração.
Arquivos de configuração
ssh_config
sshd_config
authorized_keys
ssh_known_hosts
known_hosts
id_rsa
Fuzzing
- https://packetstormsecurity.com/files/download/71252/sshfuzz.txt
- https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh_version_2
Referências
- Você pode encontrar guias interessantes sobre como endurecer o SSH em https://www.ssh-audit.com/hardening_guides.html
- https://community.turgensec.com/ssh-hacking-guide
Se você está interessado em carreira de hacking e hackear o inquebrável - estamos contratando! (fluência em polonês escrita e falada é necessária).
{% embed url="https://www.stmcyber.com/careers" %}
Comandos Automáticos do HackTricks
Protocol_Name: SSH
Port_Number: 22
Protocol_Description: Secure Shell Hardening
Entry_1:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 -u {IP} ssh
Entry_2:
Name: consolesless mfs enumeration
Description: SSH enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e hacktricks-cloud repo.