Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/pentesting-ssh.md
Translator workflow 5e0daf0e23 Translated to Polish
2024-02-11 01:46:25 +00:00

24 KiB
Raw Blame History

22 - Testowanie penetracyjne SSH/SFTP

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli interesuje Cię kariera hakerska i hakowanie niemożliwych do zhakowania rzeczy - zatrudniamy! (wymagane biegłe posługiwanie się językiem polskim w mowie i piśmie).

{% embed url="https://www.stmcyber.com/careers" %}

Podstawowe informacje

SSH (Secure Shell lub Secure Socket Shell) to protokół sieciowy umożliwiający bezpieczne połączenie z komputerem przez nieszyfrowaną sieć. Jest niezbędny do utrzymania poufności i integralności danych podczas dostępu do zdalnych systemów.

Domyślny port: 22

22/tcp open  ssh     syn-ack

Serwery SSH:

  • openSSH - OpenBSD SSH, dostarczany w dystrybucjach BSD, Linuxa i Windows od wersji 10
  • Dropbear - implementacja SSH dla środowisk o niskiej pamięci i zasobach procesora, dostarczana w OpenWrt
  • PuTTY - implementacja SSH dla systemu Windows, klient jest powszechnie używany, ale użycie serwera jest rzadsze
  • CopSSH - implementacja OpenSSH dla systemu Windows

Biblioteki SSH (implementujące po stronie serwera):

  • libssh - wieloplatformowa biblioteka C implementująca protokół SSHv2 z wiązaniami w Pythonie, Perl i R; jest używana przez KDE do sftp i przez GitHub do infrastruktury git SSH
  • wolfSSH - biblioteka serwera SSHv2 napisana w ANSI C, przeznaczona dla wbudowanych, systemów operacyjnych czasu rzeczywistego i środowisk o ograniczonych zasobach
  • Apache MINA SSHD - biblioteka SSHD Apache oparta na Apache MINA
  • paramiko - biblioteka protokołu SSHv2 dla Pythona

Wyliczanie

Pobieranie baneru

nc -vn <IP> 22

Automatyczne audytowanie ssh-audit

ssh-audit to narzędzie do audytu konfiguracji serwera i klienta SSH.

https://github.com/jtesta/ssh-audit to zaktualizowana wersja od https://github.com/arthepsy/ssh-audit/

Funkcje:

  • Obsługa serwera protokołu SSH1 i SSH2;
  • Analiza konfiguracji klienta SSH;
  • Pobieranie baneru, rozpoznawanie urządzenia lub oprogramowania oraz systemu operacyjnego, wykrywanie kompresji;
  • Zbieranie algorytmów wymiany klucza, klucza hosta, szyfrowania i kodu uwierzytelniania wiadomości;
  • Wyświetlanie informacji o algorytmach (dostępne od, usunięte/wyłączone, niebezpieczne/słabe/przestarzałe, itp.);
  • Wyświetlanie zaleceń dotyczących algorytmów (dodawanie lub usuwanie na podstawie rozpoznanej wersji oprogramowania);
  • Wyświetlanie informacji o bezpieczeństwie (powiązane problemy, przypisana lista CVE, itp.);
  • Analiza zgodności wersji SSH na podstawie informacji o algorytmach;
  • Historyczne informacje z OpenSSH, Dropbear SSH i libssh;
  • Działa na systemach Linux i Windows;
  • Brak zależności.
usage: ssh-audit.py [-1246pbcnjvlt] <host>

-1,  --ssh1             force ssh version 1 only
-2,  --ssh2             force ssh version 2 only
-4,  --ipv4             enable IPv4 (order of precedence)
-6,  --ipv6             enable IPv6 (order of precedence)
-p,  --port=<port>      port to connect
-b,  --batch            batch output
-c,  --client-audit     starts a server on port 2222 to audit client
software config (use -p to change port;
use -t to change timeout)
-n,  --no-colors        disable colors
-j,  --json             JSON output
-v,  --verbose          verbose output
-l,  --level=<level>    minimum output level (info|warn|fail)
-t,  --timeout=<secs>   timeout (in seconds) for connection and reading
(default: 5)
$ python3 ssh-audit <IP>

Publiczny klucz SSH serwera

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDZz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6Xz6X
```bash
ssh-keyscan -t rsa <IP> -p <PORT>

Słabe algorytmy szyfrujące

To jest domyślnie wykrywane przez nmap. Ale można również użyć sslscan lub sslyze.

Skrypty Nmap

nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods

Shodan

  • ssh

Brute force nazw użytkowników, haseł i kluczy prywatnych

Wyliczanie nazw użytkowników

W niektórych wersjach OpenSSH można przeprowadzić atak czasowy w celu wyliczenia użytkowników. Można użyć modułu metasploit w celu wykorzystania tego:

msf> use scanner/ssh/ssh_enumusers

Atak siłowy

Niektóre powszechne dane uwierzytelniające ssh tutaj i tutaj oraz poniżej.

Atak siłowy na klucz prywatny

Jeśli znasz jakieś klucze prywatne ssh, które mogą być użyte... spróbujmy. Możesz użyć skryptu nmap:

https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html

Lub moduł pomocniczy MSF:

msf> use scanner/ssh/ssh_identify_pubkeys

Lub użyj ssh-keybrute.py (natywny python3, lekki i obsługuje starsze algorytmy): snowdroppe/ssh-keybrute.

Znane złe klucze można znaleźć tutaj:

{% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %}

Słabe klucze SSH / przewidywalny PRNG w Debianie

Niektóre systemy mają znane wady w losowym ziarnie używanym do generowania materiału kryptograficznego. Może to prowadzić do dramatycznego zmniejszenia przestrzeni kluczy, które można złamać metodą bruteforce. Tutaj można znaleźć zestawy wcześniej wygenerowanych kluczy wygenerowanych na systemach Debian dotkniętych słabym PRNG: g0tmi1k/debian-ssh.

Powinieneś sprawdzić tutaj, aby poszukać prawidłowych kluczy dla maszyny ofiary.

Kerberos

crackmapexec używając protokołu ssh może użyć opcji --kerberos do uwierzytelniania za pomocą Kerberosa.
Aby uzyskać więcej informacji, uruchom crackmapexec ssh --help.

Domyślne dane uwierzytelniające

Producent Nazwy użytkowników Hasła
APC apc, device apc
Brocade admin admin123, password, brocade, fibranne
Cisco admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin admin, Admin123, default, password, secur4u, cisco, Cisco, _Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme
Citrix root, nsroot, nsmaint, vdiadmin, kvm, cli, admin C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler
D-Link admin, user private, admin, user
Dell root, user1, admin, vkernel, cli calvin, 123456, password, vkernel, Stor@ge!, admin
EMC admin, root, sysadmin EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc
HP/3Com admin, root, vcx, app, spvar, manage, hpsupport, opc_op admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin
Huawei admin, root 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123
IBM USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer
Juniper netscreen netscreen
NetApp admin netapp123
Oracle root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user changeme, ilom-admin, ilom-operator, welcome1, oracle
VMware vi-admin, root, hqadmin, vmware, admin vmware, vmw@re, hqadmin, default

SSH-MitM

Jeśli znajdujesz się w tej samej sieci lokalnej co ofiara, która będzie łączyć się z serwerem SSH za pomocą nazwy użytkownika i hasła, możesz spróbować przeprowadzić atak typu MitM, aby ukraść te dane uwierzytelniające:

Ścieżka ataku:

  • Przekierowanie ruchu: Atakujący przekierowuje ruch ofiary na swoje urządzenie, efektywnie przechwytując próbę połączenia z serwerem SSH.
  • Przechwycenie i logowanie: Urządzenie atakujące działa jako proxy, przechwytując dane logowania użytkownika, udając prawidłowy serwer SSH.
  • Wykonanie poleceń i przekazywanie: Na koniec, serwer atakującego rejestruje dane uwierzytelniające użytkownika, przekazuje polecenia do prawdziwego serwera SSH, wykonuje je i przesyła wyniki z powrotem do użytkownika, sprawiając, że proces wydaje się płynny i prawidłowy.

SSH MITM robi dokładnie to, co opisano powyżej.

Aby przechwycić i przeprowadzić rzeczywisty atak typu MitM, można użyć technik takich jak ARP spoofing, DNS spoofing lub inne opisane w ataki podstawiania.

SSH-Snake

Jeśli chcesz przemierzać sieć, korzystając z odkrytych prywatnych kluczy SSH na systemach, wykorzystując każdy klucz prywatny na każdym systemie dla nowych hostów, to SSH-Snake jest tym, czego potrzebujesz.

SSH-Snake automatycznie i rekurencyjnie wykonuje następujące zadania:

  1. Na bieżącym systemie znajduje wszystkie prywatne klucze SSH,
  2. Na bieżącym systemie znajduje wszystkie hosty lub miejsca docelowe (użytkownik@host), które mogą akceptować prywatne klucze,
  3. Próbuje nawiązać połączenie SSH ze wszystkimi miejscami docelowymi, używając wszystkich odkrytych prywatnych kluczy,
  4. Jeśli połączenie z miejscem docelowym powiedzie się, powtarza kroki #1 - #4 na podłączonym systemie.

Jest to w pełni samoreplikujące się i samorozprzestrzeniające się narzędzie - i całkowicie bezplikowe.

Błędy konfiguracji

Logowanie jako root

Często serwery SSH pozwalają na logowanie użytkownika root domyślnie, co stanowi znaczne ryzyko dla bezpieczeństwa. Wyłączenie logowania jako root to kluczowy krok w zabezpieczaniu serwera. Nieautoryzowany dostęp z uprawnieniami administratora i ataki brute force można zminimalizować, dokonując tej zmiany.

Aby wyłączyć logowanie jako root w OpenSSH:

  1. Edytuj plik konfiguracyjny SSH za pomocą polecenia: sudoedit /etc/ssh/sshd_config
  2. Zmień ustawienie z #PermitRootLogin yes na PermitRootLogin no.
  3. Przeładuj konfigurację za pomocą polecenia: sudo systemctl daemon-reload
  4. Uruchom ponownie serwer SSH, aby zastosować zmiany: sudo systemctl restart sshd

Brute Force SFTP

Wykonanie poleceń SFTP

Często popełnianym błędem w konfiguracji SFTP jest umożliwienie użytkownikom wymiany plików bez włączania zdalnego dostępu do powłoki. Pomimo ustawienia użytkowników z nieinteraktywnymi powłokami (np. /usr/bin/nologin) i ograniczenia ich do określonego katalogu, pozostaje luka w zabezpieczeniach. Użytkownicy mogą ominąć te ograniczenia, żądając wykonania polecenia (np. /bin/bash) zaraz po zalogowaniu, zanim przejmie kontrolę ich nieinteraktywna powłoka. Pozwala to na nieautoryzowane wykonanie poleceń, podważając zamierzone środki bezpieczeństwa.

Przykład stąd:

ssh -v noraj@192.168.1.94 id
...
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending command: id
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
uid=1000(noraj) gid=100(users) groups=100(users)
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
Bytes per second: sent 43133.4, received 44349.5
debug1: Exit status 0

$ ssh noraj@192.168.1.94 /bin/bash

Oto przykład bezpiecznej konfiguracji SFTP (/etc/ssh/sshd_config - openSSH) dla użytkownika noraj:

# Ustawienia SFTP
Subsystem sftp internal-sftp

Match User noraj
    ChrootDirectory /home/noraj
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no
    PasswordAuthentication yes
    PermitTunnel no
    AllowAgentForwarding no
    PermitRootLogin no
    PermitEmptyPasswords no
    PubkeyAuthentication yes
    AuthorizedKeysFile /home/noraj/.ssh/authorized_keys

Ta konfiguracja zapewnia bezpieczny dostęp SFTP dla użytkownika noraj. Użytkownik zostanie ograniczony do swojego katalogu domowego (/home/noraj), a jedyną dozwoloną operacją będzie SFTP. Wymusza to uwierzytelnianie za pomocą hasła (PasswordAuthentication yes) lub klucza publicznego (PubkeyAuthentication yes). Wszystkie inne opcje, takie jak przekierowanie X11 czy przekierowanie agenta SSH, są wyłączone.

Match User noraj
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PermitTTY no

Ta konfiguracja pozwoli tylko na SFTP: wyłącza dostęp do powłoki, wymuszając uruchomienie polecenia startowego oraz wyłącza dostęp do TTY, ale również wyłącza wszelkie przekierowania portów lub tunelowanie.

Tunelowanie SFTP

Jeśli masz dostęp do serwera SFTP, możesz również przekierować swój ruch przez niego, na przykład za pomocą powszechnego przekierowania portów:

sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>

SFTP Symlink

SFTP posiada polecenie "symlink". Dlatego, jeśli masz prawa do zapisu w pewnym folderze, możesz tworzyć symlinki do innych folderów/plików. Prawdopodobnie jesteś uwięziony wewnątrz chroot, więc to nie będzie specjalnie przydatne dla Ciebie, ale jeśli możesz uzyskać dostęp do utworzonego symlinku z usługi bez chroot (na przykład, jeśli możesz uzyskać dostęp do symlinku z sieci), możesz otworzyć symlinkowane pliki przez sieć.

Na przykład, aby utworzyć symlink od nowego pliku "froot" do "/":

sftp> symlink / froot

Jeśli masz dostęp do pliku "froot" za pośrednictwem sieci, będziesz w stanie wyświetlić zawartość folderu root ("/") systemu.

Metody uwierzytelniania

W środowiskach o wysokim poziomie bezpieczeństwa powszechną praktyką jest włączanie tylko uwierzytelniania opartego na kluczach lub dwuskładnikowego, zamiast prostego uwierzytelniania opartego na haśle. Jednak często silniejsze metody uwierzytelniania są włączane bez wyłączania słabszych. Częstym przypadkiem jest włączenie publickey w konfiguracji openSSH i ustawienie go jako domyślną metodę, ale nie wyłączenie password. Dlatego, korzystając z trybu verbose klienta SSH, atakujący może zobaczyć, że włączona jest słabsza metoda:

ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive

Na przykład, jeśli ustawiono limit nieudanych prób uwierzytelnienia i nigdy nie masz szansy dotrzeć do metody hasła, możesz użyć opcji PreferredAuthentications, aby wymusić użycie tej metody.

ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password

Przegląd konfiguracji serwera SSH jest konieczny, aby sprawdzić, czy są upoważnione tylko oczekiwane metody. Użycie trybu verbose na kliencie może pomóc w zobaczeniu skuteczności konfiguracji.

Pliki konfiguracyjne

ssh_config
sshd_config
authorized_keys
ssh_known_hosts
known_hosts
id_rsa

Fuzzing

References

Jeśli interesuje Cię kariera w dziedzinie hakowania i chcesz zhakować to, co nie do zhakowania - zatrudniamy! (wymagane biegłe posługiwanie się językiem polskim w mowie i piśmie).

{% embed url="https://www.stmcyber.com/careers" %}

HackTricks Automatyczne Polecenia

Protocol_Name: SSH
Port_Number: 22
Protocol_Description: Secure Shell Hardening

Entry_1:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh

Entry_2:
Name: consolesless mfs enumeration
Description: SSH enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks: