mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-26 21:13:44 +00:00
335 lines
27 KiB
Markdown
335 lines
27 KiB
Markdown
# 22 - Pentesting SSH/SFTP
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|
|
|
|
<img src="../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
|
|
|
|
Se você está interessado em uma **carreira de hacking** e hackear o inquebrável - **estamos contratando!** (_fluência em polonês escrita e falada é necessária_).
|
|
|
|
{% embed url="https://www.stmcyber.com/careers" %}
|
|
|
|
## Informações Básicas
|
|
|
|
**SSH ou Secure Shell ou Secure Socket Shell,** é um protocolo de rede que oferece aos usuários uma **maneira segura de acessar um computador em uma rede não segura.**
|
|
|
|
**Porta padrão:** 22
|
|
```
|
|
22/tcp open ssh syn-ack
|
|
```
|
|
**Servidores SSH:**
|
|
|
|
* [openSSH](http://www.openssh.org) - OpenBSD SSH, incluído em distribuições BSD, Linux e Windows desde o Windows 10
|
|
* [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) - Implementação SSH para ambientes com baixa memória e recursos de processador, incluído no OpenWrt
|
|
* [PuTTY](https://www.chiark.greenend.org.uk/\~sgtatham/putty/) - Implementação SSH para Windows, o cliente é comumente usado, mas o uso do servidor é mais raro
|
|
* [CopSSH](https://www.itefix.net/copssh) - Implementação do OpenSSH para Windows
|
|
|
|
**Bibliotecas SSH (implementando o lado do servidor):**
|
|
|
|
* [libssh](https://www.libssh.org) - Biblioteca C multiplataforma que implementa o protocolo SSHv2, com bindings em [Python](https://github.com/ParallelSSH/ssh-python), [Perl](https://github.com/garnier-quentin/perl-libssh/) e [R](https://github.com/ropensci/ssh); é usado pelo KDE para sftp e pelo GitHub para a infraestrutura de SSH do git
|
|
* [wolfSSH](https://www.wolfssl.com/products/wolfssh/) - Biblioteca de servidor SSHv2 escrita em ANSI C e direcionada para ambientes embarcados, RTOS e com recursos limitados
|
|
* [Apache MINA SSHD](https://mina.apache.org/sshd-project/index.html) - A biblioteca Java Apache SSHD é baseada no Apache MINA
|
|
* [paramiko](https://github.com/paramiko/paramiko) - Biblioteca de protocolo SSHv2 em Python
|
|
|
|
## Enumeração
|
|
|
|
### Banner Grabbing
|
|
```bash
|
|
nc -vn <IP> 22
|
|
```
|
|
### Auditoria automatizada de ssh-audit
|
|
|
|
ssh-audit é uma ferramenta para auditoria de configuração de servidor e cliente ssh.
|
|
|
|
[https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit) é um fork atualizado de [https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/)
|
|
|
|
**Recursos:**
|
|
|
|
* Suporte a servidor SSH1 e SSH2;
|
|
* Analisar a configuração do cliente SSH;
|
|
* Obter banner, reconhecer dispositivo ou software e sistema operacional, detectar compressão;
|
|
* Coletar algoritmos de troca de chaves, chave de host, criptografia e código de autenticação de mensagem;
|
|
* Informações sobre algoritmos de saída (disponíveis desde, removidos/desativados, inseguros/fracos/legados, etc);
|
|
* Recomendações de algoritmos de saída (adicionar ou remover com base na versão do software reconhecido);
|
|
* Informações de segurança de saída (questões relacionadas, lista de CVE atribuídas, etc);
|
|
* Analisar a compatibilidade da versão do SSH com base nas informações do algoritmo;
|
|
* Informações históricas do OpenSSH, Dropbear SSH e libssh;
|
|
* Funciona no Linux e Windows;
|
|
* Sem dependências
|
|
```bash
|
|
usage: ssh-audit.py [-1246pbcnjvlt] <host>
|
|
|
|
-1, --ssh1 force ssh version 1 only
|
|
-2, --ssh2 force ssh version 2 only
|
|
-4, --ipv4 enable IPv4 (order of precedence)
|
|
-6, --ipv6 enable IPv6 (order of precedence)
|
|
-p, --port=<port> port to connect
|
|
-b, --batch batch output
|
|
-c, --client-audit starts a server on port 2222 to audit client
|
|
software config (use -p to change port;
|
|
use -t to change timeout)
|
|
-n, --no-colors disable colors
|
|
-j, --json JSON output
|
|
-v, --verbose verbose output
|
|
-l, --level=<level> minimum output level (info|warn|fail)
|
|
-t, --timeout=<secs> timeout (in seconds) for connection and reading
|
|
(default: 5)
|
|
$ python3 ssh-audit <IP>
|
|
```
|
|
### Chave pública SSH do servidor
|
|
|
|
```plaintext
|
|
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDZz6Xz3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z3z
|
|
```bash
|
|
ssh-keyscan -t rsa <IP> -p <PORT>
|
|
```
|
|
### Algoritmos de Cifra Fracos
|
|
|
|
Isso é descoberto por padrão pelo **nmap**. Mas você também pode usar o **sslscan** ou **sslyze**.
|
|
|
|
### Scripts do Nmap
|
|
```bash
|
|
nmap -p22 <ip> -sC # Send default nmap scripts for SSH
|
|
nmap -p22 <ip> -sV # Retrieve version
|
|
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
|
|
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
|
|
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods
|
|
```
|
|
### Shodan
|
|
|
|
* `ssh`
|
|
|
|
## Força bruta de nomes de usuário, senhas e chaves privadas
|
|
|
|
### Enumeração de Nomes de Usuário
|
|
|
|
Em algumas versões do OpenSSH, é possível realizar um ataque de tempo para enumerar usuários. Você pode usar um módulo do Metasploit para explorar isso:
|
|
```
|
|
msf> use scanner/ssh/ssh_enumusers
|
|
```
|
|
### [Força bruta](../generic-methodologies-and-resources/brute-force.md#ssh)
|
|
|
|
Algumas credenciais ssh comuns [aqui](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt) e [aqui](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt) e abaixo.
|
|
|
|
### Força Bruta de Chave Privada
|
|
|
|
Se você conhece algumas chaves privadas ssh que podem ser usadas... vamos tentar. Você pode usar o script nmap:
|
|
```
|
|
https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html
|
|
```
|
|
Ou o módulo auxiliar do MSF:
|
|
```
|
|
msf> use scanner/ssh/ssh_identify_pubkeys
|
|
```
|
|
Ou use `ssh-keybrute.py` (python3 nativo, leve e com algoritmos legados habilitados): [snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute).
|
|
|
|
#### Chaves ruins conhecidas podem ser encontradas aqui:
|
|
|
|
{% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %}
|
|
|
|
#### Chaves SSH fracas / PRNG previsível do Debian
|
|
|
|
Alguns sistemas têm falhas conhecidas na semente aleatória usada para gerar material criptográfico. Isso pode resultar em um espaço de chaves dramaticamente reduzido que pode ser quebrado por força bruta. Conjuntos pré-gerados de chaves geradas em sistemas Debian afetados por PRNG fraco estão disponíveis aqui: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh).
|
|
|
|
Você deve procurar aqui para procurar chaves válidas para a máquina vítima.
|
|
|
|
### Kerberos
|
|
|
|
**crackmapexec** usando o protocolo `ssh` pode usar a opção `--kerberos` para **autenticar via kerberos**.\
|
|
Para mais informações, execute `crackmapexec ssh --help`.
|
|
|
|
## Credenciais padrão
|
|
|
|
| **Fabricante** | **Nomes de usuário** | **Senhas** |
|
|
| -------------- | ------------------------------------------------------------------------------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
|
|
| APC | apc, device | apc |
|
|
| Brocade | admin | admin123, password, brocade, fibranne |
|
|
| Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, \_Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change\_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
|
|
| Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler |
|
|
| D-Link | admin, user | private, admin, user |
|
|
| Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin |
|
|
| EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc |
|
|
| HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc\_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC\_op, !manage, !admin |
|
|
| Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 |
|
|
| IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer |
|
|
| Juniper | netscreen | netscreen |
|
|
| NetApp | admin | netapp123 |
|
|
| Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle |
|
|
| VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default |
|
|
|
|
## SSH-MitM
|
|
|
|
Se você estiver na rede local como a vítima que vai se conectar ao servidor SSH usando nome de usuário e senha, você pode tentar **realizar um ataque MitM para roubar essas credenciais:**
|
|
|
|
**Caminho do ataque:**
|
|
|
|
* o tráfego do usuário é redirecionado para a máquina atacante
|
|
* o atacante monitora as tentativas de conexão com o servidor SSH e as redireciona para seu próprio servidor SSH
|
|
* o servidor SSH do atacante é configurado, em primeiro lugar, para registrar todos os dados inseridos, incluindo a senha do usuário, e, em segundo lugar, para enviar comandos ao servidor SSH legítimo para o qual o usuário deseja se conectar, para executá-los e, em seguida, retornar os resultados ao usuário legítimo
|
|
|
|
\*\*\*\*[**SSH MITM**](https://github.com/jtesta/ssh-mitm) \*\*\*\* faz exatamente o que foi descrito acima.
|
|
|
|
Para capturar e realizar o MitM real, você pode usar técnicas como ARP spoofing, DNS spoofing ou outras descritas em [**Ataques de Spoofing de Rede**](../generic-methodologies-and-resources/pentesting-network/#spoofing).
|
|
|
|
## Configurações incorretas de configuração
|
|
|
|
### Login de root
|
|
|
|
Por padrão, a maioria das implementações de servidor SSH permitirá o login de root. É aconselhável desativá-lo, porque se as credenciais dessa conta vazarem, os invasores obterão privilégios administrativos diretamente e isso também permitirá que os invasores realizem ataques de força bruta nessa conta.
|
|
|
|
**Como desativar o login de root para o openSSH:**
|
|
|
|
1. Edite a configuração do servidor SSH `sudoedit /etc/ssh/sshd_config`
|
|
2. Altere `#PermitRootLogin yes` para `PermitRootLogin no`
|
|
3. Leve em consideração as alterações de configuração: `sudo systemctl daemon-reload`
|
|
4. Reinicie o servidor SSH `sudo systemctl restart sshd`
|
|
|
|
### Execução de comandos SFTP
|
|
|
|
Outra configuração incorreta comum do SSH é frequentemente vista na configuração do SFTP. Na maioria das vezes, ao criar um servidor SFTP, o administrador deseja que os usuários tenham acesso SFTP para compartilhar arquivos, mas não para obter um shell remoto na máquina. Portanto, eles pensam que criar um usuário, atribuir a ele um shell reservado (como `/usr/bin/nologin` ou `/usr/bin/false`) e restringi-lo em uma prisão é suficiente para evitar o acesso ou abuso de shell em todo o sistema de arquivos. Mas eles estão errados, **um usuário pode solicitar a execução de um comando logo após a autenticação antes que seu comando ou shell padrão seja executado**. Portanto, para ignorar o shell reservado que negará o acesso ao shell, basta solicitar a execução de um comando (por exemplo, `/bin/bash`) antes, apenas fazendo:
|
|
```
|
|
$ ssh -v noraj@192.168.1.94 id
|
|
...
|
|
Password:
|
|
debug1: Authentication succeeded (keyboard-interactive).
|
|
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
|
|
debug1: channel 0: new [client-session]
|
|
debug1: Requesting no-more-sessions@openssh.com
|
|
debug1: Entering interactive session.
|
|
debug1: pledge: network
|
|
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
|
|
debug1: Sending command: id
|
|
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
|
|
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
|
|
uid=1000(noraj) gid=100(users) groups=100(users)
|
|
debug1: channel 0: free: client-session, nchannels 1
|
|
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
|
|
Bytes per second: sent 43133.4, received 44349.5
|
|
debug1: Exit status 0
|
|
|
|
$ ssh noraj@192.168.1.94 /bin/bash
|
|
```
|
|
Aqui está um exemplo de configuração segura do SFTP (`/etc/ssh/sshd_config` - openSSH) para o usuário `noraj`:
|
|
|
|
```plaintext
|
|
# Permitir apenas SFTP e desativar o acesso SSH
|
|
Subsystem sftp internal-sftp
|
|
|
|
Match User noraj
|
|
ForceCommand internal-sftp
|
|
PasswordAuthentication yes
|
|
ChrootDirectory /home/noraj
|
|
PermitTunnel no
|
|
AllowAgentForwarding no
|
|
AllowTcpForwarding no
|
|
X11Forwarding no
|
|
```
|
|
|
|
Certifique-se de reiniciar o serviço SSH após fazer alterações na configuração.
|
|
```
|
|
Match User noraj
|
|
ChrootDirectory %h
|
|
ForceCommand internal-sftp
|
|
AllowTcpForwarding no
|
|
PermitTunnel no
|
|
X11Forwarding no
|
|
PermitTTY no
|
|
```
|
|
Essa configuração permitirá apenas o SFTP: desabilitando o acesso ao shell forçando o comando de início e desabilitando o acesso TTY, mas também desabilitando todos os tipos de encaminhamento de porta ou túnel.
|
|
|
|
### Túnel SFTP
|
|
|
|
Se você tiver acesso a um servidor SFTP, também poderá direcionar seu tráfego por meio dele, por exemplo, usando o encaminhamento de porta comum:
|
|
```
|
|
sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>
|
|
```
|
|
### SFTP Symlink
|
|
|
|
O **sftp** possui o comando "**symlink**". Portanto, se você tiver **direitos de gravação** em alguma pasta, você pode criar **links simbólicos** de **outras pastas/arquivos**. Como você provavelmente está **preso** dentro de um chroot, isso **não será especialmente útil** para você, mas se você puder **acessar** o **link simbólico** criado a partir de um **serviço sem chroot** (por exemplo, se você puder acessar o link simbólico pela web), você poderá **abrir os arquivos linkados através da web**.
|
|
|
|
Por exemplo, para criar um **link simbólico** de um novo arquivo **"**_**froot**_**" para "**_**/**_**"**:
|
|
```
|
|
sftp> symlink / froot
|
|
```
|
|
Se você conseguir acessar o arquivo "_froot_" via web, poderá listar a pasta raiz ("/") do sistema.
|
|
|
|
### Métodos de autenticação
|
|
|
|
Em ambientes de alta segurança, é comum habilitar apenas autenticação baseada em chave ou autenticação de dois fatores em vez da autenticação simples baseada em senha. No entanto, muitas vezes os métodos de autenticação mais fortes são habilitados sem desabilitar os mais fracos. Um caso frequente é habilitar `publickey` na configuração do openSSH e defini-lo como o método padrão, mas não desabilitar `password`. Portanto, usando o modo verbose do cliente SSH, um atacante pode ver que um método mais fraco está habilitado:
|
|
```
|
|
$ ssh -v 192.168.1.94
|
|
OpenSSH_8.1p1, OpenSSL 1.1.1d 10 Sep 2019
|
|
...
|
|
debug1: Authentications that can continue: publickey,password,keyboard-interactive
|
|
```
|
|
Por exemplo, se um limite de falha de autenticação estiver definido e você nunca tiver a chance de alcançar o método de senha, você pode usar a opção `PreferredAuthentications` para forçar o uso desse método.
|
|
```
|
|
$ ssh -v 192.168.1.94 -o PreferredAuthentications=password
|
|
...
|
|
debug1: Next authentication method: password
|
|
```
|
|
Revisar a configuração do servidor SSH é necessário para verificar se apenas os métodos esperados estão autorizados. Usar o modo verbose no cliente pode ajudar a ver a eficácia da configuração.
|
|
|
|
### Arquivos de configuração
|
|
```
|
|
ssh_config
|
|
sshd_config
|
|
authorized_keys
|
|
ssh_known_hosts
|
|
known_hosts
|
|
id_rsa
|
|
```
|
|
## Fuzzing
|
|
|
|
* [https://packetstormsecurity.com/files/download/71252/sshfuzz.txt](https://packetstormsecurity.com/files/download/71252/sshfuzz.txt)
|
|
* [https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2](https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh\_version\_2)
|
|
|
|
## Referências
|
|
|
|
* Você pode encontrar guias interessantes sobre como fortalecer o SSH em [https://www.ssh-audit.com/hardening\_guides.html](https://www.ssh-audit.com/hardening\_guides.html)
|
|
* [https://community.turgensec.com/ssh-hacking-guide](https://community.turgensec.com/ssh-hacking-guide)
|
|
|
|
<img src="../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
|
|
|
|
Se você está interessado em uma **carreira de hacking** e hackear o inquebrável - **estamos contratando!** (_fluência em polonês, escrita e falada, é necessária_).
|
|
|
|
{% embed url="https://www.stmcyber.com/careers" %}
|
|
|
|
## Comandos Automáticos HackTricks
|
|
```
|
|
Protocol_Name: SSH
|
|
Port_Number: 22
|
|
Protocol_Description: Secure Shell Hardening
|
|
|
|
Entry_1:
|
|
Name: Hydra Brute Force
|
|
Description: Need Username
|
|
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh
|
|
|
|
Entry_2:
|
|
Name: consolesless mfs enumeration
|
|
Description: SSH enumeration without the need to run msfconsole
|
|
Note: sourced from https://github.com/carlospolop/legion
|
|
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'
|
|
|
|
```
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|