maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/network-services-pentesting/pentesting-ssh.md

306 lines
26 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 22 - Pentesting SSH/SFTP
{{#include ../banners/hacktricks-training.md}}
## Основна інформація
**SSH (Secure Shell або Secure Socket Shell)** - це мережевий протокол, який забезпечує безпечне з'єднання з комп'ютером через незахищену мережу. Він є важливим для підтримки конфіденційності та цілісності даних при доступі до віддалених систем.
**Порт за замовчуванням:** 22
```
22/tcp open ssh syn-ack
```
**SSH сервери:**
- [openSSH](http://www.openssh.org) OpenBSD SSH, постачається в BSD, дистрибутивах Linux та Windows з Windows 10
- [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) реалізація SSH для середовищ з обмеженими ресурсами пам'яті та процесора, постачається в OpenWrt
- [PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/) реалізація SSH для Windows, клієнт зазвичай використовується, але використання сервера є рідкісним
- [CopSSH](https://www.itefix.net/copssh) реалізація OpenSSH для Windows
**Бібліотеки SSH (реалізація на стороні сервера):**
- [libssh](https://www.libssh.org) багатоплатформна C бібліотека, що реалізує протокол SSHv2 з прив'язками в [Python](https://github.com/ParallelSSH/ssh-python), [Perl](https://github.com/garnier-quentin/perl-libssh/) та [R](https://github.com/ropensci/ssh); використовується KDE для sftp та GitHub для інфраструктури git SSH
- [wolfSSH](https://www.wolfssl.com/products/wolfssh/) бібліотека сервера SSHv2, написана на ANSI C та орієнтована на вбудовані, RTOS та середовища з обмеженими ресурсами
- [Apache MINA SSHD](https://mina.apache.org/sshd-project/index.html) бібліотека Apache SSHD на Java базується на Apache MINA
- [paramiko](https://github.com/paramiko/paramiko) бібліотека протоколу SSHv2 на Python
## Перерахування
### Захоплення банера
```bash
nc -vn <IP> 22
```
### Автоматизований ssh-аудит
ssh-audit - це інструмент для аудиту конфігурації ssh-сервера та клієнта.
[https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit) - це оновлений форк від [https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/)
**Особливості:**
- Підтримка серверів протоколів SSH1 та SSH2;
- аналіз конфігурації SSH-клієнта;
- отримання банера, розпізнавання пристрою або програмного забезпечення та операційної системи, виявлення стиснення;
- збір алгоритмів обміну ключами, ключів хоста, шифрування та коду автентифікації повідомлень;
- вивід інформації про алгоритми (доступно з, видалено/вимкнено, небезпечно/слабко/старе тощо);
- вивід рекомендацій щодо алгоритмів (додати або видалити на основі розпізнаної версії програмного забезпечення);
- вивід інформації про безпеку (пов'язані проблеми, призначений список CVE тощо);
- аналіз сумісності версій SSH на основі інформації про алгоритми;
- історична інформація з OpenSSH, Dropbear SSH та libssh;
- працює на Linux та Windows;
- без залежностей
```bash
usage: ssh-audit.py [-1246pbcnjvlt] <host>
-1, --ssh1 force ssh version 1 only
-2, --ssh2 force ssh version 2 only
-4, --ipv4 enable IPv4 (order of precedence)
-6, --ipv6 enable IPv6 (order of precedence)
-p, --port=<port> port to connect
-b, --batch batch output
-c, --client-audit starts a server on port 2222 to audit client
software config (use -p to change port;
use -t to change timeout)
-n, --no-colors disable colors
-j, --json JSON output
-v, --verbose verbose output
-l, --level=<level> minimum output level (info|warn|fail)
-t, --timeout=<secs> timeout (in seconds) for connection and reading
(default: 5)
$ python3 ssh-audit <IP>
```
[Дивіться це в дії (Asciinema)](https://asciinema.org/a/96ejZKxpbuupTK9j7h8BdClzp)
### Публічний SSH ключ сервера
```bash
ssh-keyscan -t rsa <IP> -p <PORT>
```
### Слабкі шифрувальні алгоритми
Це виявляється за замов
```bash
nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods
```
### Shodan
- `ssh`
## Брутфорс імен користувачів, паролів та приватних ключів
### Перерахування імен користувачів
В деяких версіях OpenSSH ви можете здійснити таймінгову атаку для перерахування користувачів. Ви можете використовувати модуль metasploit для експлуатації цього:
```
msf> use scanner/ssh/ssh_enumusers
```
### [Brute force](../generic-hacking/brute-force.md#ssh)
Деякі загальні ssh облікові дані [тут](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt) та [тут](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt) і нижче.
### Private Key Brute Force
Якщо ви знаєте деякі ssh приватні ключі, які можуть бути використані... давайте спробуємо. Ви можете використовувати скрипт nmap:
```
https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html
```
Або модуль допоміжних засобів MSF:
```
msf> use scanner/ssh/ssh_identify_pubkeys
```
Або використовуйте `ssh-keybrute.py` (рідний python3, легкий і має увімкнені застарілі алгоритми): [snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute).
#### Відомі погані ключі можна знайти тут:
{{#ref}}
https://github.com/rapid7/ssh-badkeys/tree/master/authorized
{{#endref}}
#### Слабкі SSH ключі / Передбачуваний PRNG Debian
Деякі системи мають відомі недоліки в випадковому насінні, яке використовується для генерації криптографічного матеріалу. Це може призвести до значного зменшення простору ключів, який можна зламати. Попередньо згенеровані набори ключів, згенеровані на системах Debian, які підлягають впливу слабкого PRNG, доступні тут: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh).
Вам слід подивитися тут, щоб знайти дійсні ключі для машини жертви.
### Kerberos
**crackmapexec** з використанням протоколу `ssh` може використовувати опцію `--kerberos` для **автентифікації через kerberos**.\
Для отримання додаткової інформації запустіть `crackmapexec ssh --help`.
## Стандартні облікові дані
| **Виробник** | **Імена користувачів** | **Паролі** |
| ------------ | ----------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| APC | apc, device | apc |
| Brocade | admin | admin123, password, brocade, fibranne |
| Cisco | admin, cisco, enable, hsa, pix, pnadmin, ripeop, root, shelladmin | admin, Admin123, default, password, secur4u, cisco, Cisco, \_Cisco, cisco123, C1sco!23, Cisco123, Cisco1234, TANDBERG, change_it, 12345, ipics, pnadmin, diamond, hsadb, c, cc, attack, blender, changeme |
| Citrix | root, nsroot, nsmaint, vdiadmin, kvm, cli, admin | C1trix321, nsroot, nsmaint, kaviza, kaviza123, freebsd, public, rootadmin, wanscaler |
| D-Link | admin, user | private, admin, user |
| Dell | root, user1, admin, vkernel, cli | calvin, 123456, password, vkernel, Stor@ge!, admin |
| EMC | admin, root, sysadmin | EMCPMAdm7n, Password#1, Password123#, sysadmin, changeme, emc |
| HP/3Com | admin, root, vcx, app, spvar, manage, hpsupport, opc_op | admin, password, hpinvent, iMC123, pvadmin, passw0rd, besgroup, vcx, nice, access, config, 3V@rpar, 3V#rpar, procurve, badg3r5, OpC_op, !manage, !admin |
| Huawei | admin, root | 123456, admin, root, Admin123, Admin@storage, Huawei12#$, HwDec@01, hwosta2.0, HuaWei123, fsp200@HW, huawei123 |
| IBM | USERID, admin, manager, mqm, db2inst1, db2fenc1, dausr1, db2admin, iadmin, system, device, ufmcli, customer | PASSW0RD, passw0rd, admin, password, Passw8rd, iadmin, apc, 123456, cust0mer |
| Juniper | netscreen | netscreen |
| NetApp | admin | netapp123 |
| Oracle | root, oracle, oravis, applvis, ilom-admin, ilom-operator, nm2user | changeme, ilom-admin, ilom-operator, welcome1, oracle |
| VMware | vi-admin, root, hqadmin, vmware, admin | vmware, vmw@re, hqadmin, default |
## SSH-MitM
Якщо ви знаходитесь у локальній мережі, як жертва, яка збирається підключитися до SSH-сервера, використовуючи ім'я користувача та пароль, ви можете спробувати **виконати атаку MitM, щоб вкрасти ці облікові дані:**
**Шлях атаки:**
- **Перенаправлення трафіку:** Зловмисник **відволікає** трафік жертви на свою машину, ефективно **перехоплюючи** спробу підключення до SSH-сервера.
- **Перехоплення та ведення журналу:** Машина зловмисника діє як **проксі**, **захоплюючи** дані для входу користувача, видаючи себе за легітимний SSH-сервер.
- **Виконання команд та реле:** Нарешті, сервер зловмисника **реєструє облікові дані користувача**, **пересилає команди** на реальний SSH-сервер, **виконує** їх і **надсилає результати назад** користувачу, роблячи процес безперервним і легітимним.
[**SSH MITM**](https://github.com/jtesta/ssh-mitm) робить саме те, що описано вище.
Щоб захопити фактичний MitM, ви можете використовувати такі техніки, як ARP-спуфінг, DNS-спуфінг або інші, описані в [**Атаках на мережеве спуфінг**](../generic-methodologies-and-resources/pentesting-network/index.html#spoofing).
## SSH-Snake
Якщо ви хочете пересуватися мережею, використовуючи виявлені приватні ключі SSH на системах, використовуючи кожен приватний ключ на кожній системі для нових хостів, тоді [**SSH-Snake**](https://github.com/MegaManSec/SSH-Snake) - це те, що вам потрібно.
SSH-Snake автоматично та рекурсивно виконує такі завдання:
1. На поточній системі знайти будь-які приватні ключі SSH,
2. На поточній системі знайти будь-які хости або призначення (user@host), які можуть приймати приватні ключі,
3. Спробувати підключитися до всіх призначень, використовуючи всі виявлені приватні ключі,
4. Якщо призначення успішно підключено, повторити кроки #1 - #4 на підключеній системі.
Це повністю самовідтворюється і саморозповсюджується - і повністю безфайлове.
## Неправильні конфігурації
### Вхід як root
Зазвичай SSH-сервери дозволяють вхід користувача root за замовчуванням, що становить значний ризик для безпеки. **Вимкнення входу root** є критично важливим кроком у забезпеченні безпеки сервера. Несанкціонований доступ з адміністративними привілеями та атаки методом грубої сили можуть бути зменшені шляхом внесення цієї зміни.
**Щоб вимкнути вхід root в OpenSSH:**
1. **Відредагуйте файл конфігурації SSH** за допомогою: `sudoedit /etc/ssh/sshd_config`
2. **Змініть налаштування** з `#PermitRootLogin yes` на **`PermitRootLogin no`**.
3. **Перезавантажте конфігурацію** за допомогою: `sudo systemctl daemon-reload`
4. **Перезапустіть SSH-сервер** для застосування змін: `sudo systemctl restart sshd`
### SFTP Брутфорс
- [**SFTP Брутфорс**](../generic-hacking/brute-force.md#sftp)
### Виконання команд SFTP
Існує поширене недогляд, яке виникає з налаштуваннями SFTP, де адміністратори мають намір, щоб користувачі обмінювалися файлами без увімкнення віддаленого доступу до оболонки. Незважаючи на те, що користувачам надаються неінтерактивні оболонки (наприклад, `/usr/bin/nologin`) і обмежуються певною директорією, залишається прогалина в безпеці. **Користувачі можуть обійти ці обмеження**, запитуючи виконання команди (такої як `/bin/bash`) відразу після входу, до того, як їх призначена неінтерактивна оболонка візьме на себе. Це дозволяє виконувати несанкціоновані команди, підриваючи заплановані заходи безпеки.
[Приклад звідси](https://community.turgensec.com/ssh-hacking-guide/):
```bash
ssh -v noraj@192.168.1.94 id
...
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending command: id
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
uid=1000(noraj) gid=100(users) groups=100(users)
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
Bytes per second: sent 43133.4, received 44349.5
debug1: Exit status 0
$ ssh noraj@192.168.1.94 /bin/bash
```
Ось приклад безпечної конфігурації SFTP (`/etc/ssh/sshd_config` openSSH) для користувача `noraj`:
```
Match User noraj
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PermitTTY no
```
Ця конфігурація дозволить лише SFTP: відключаючи доступ до оболонки, примушуючи команду запуску та відключаючи доступ до TTY, а також відключаючи всі види переадресації портів або тунелювання.
### SFTP Tunneling
Якщо у вас є доступ до SFTP сервера, ви також можете тунелювати свій трафік через це, наприклад, використовуючи звичайну переадресацію портів:
```bash
sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>
```
### SFTP Symlink
Команда **sftp** має команду "**symlink**". Тому, якщо у вас є **права на запис** в якійсь папці, ви можете створювати **symlink** на **інші папки/файли**. Оскільки ви, ймовірно, **застрягли** всередині chroot, це **не буде особливо корисно** для вас, але, якщо ви можете **доступитися** до створеного **symlink** з **no-chroot** **сервісу** (наприклад, якщо ви можете доступитися до symlink з вебу), ви могли б **відкрити symlinked файли через веб**.
Наприклад, щоб створити **symlink** з нового файлу **"**_**froot**_**" на "**_**/**_**"**:
```bash
sftp> symlink / froot
```
Якщо ви можете отримати доступ до файлу "_froot_" через веб, ви зможете перерахувати кореневу ("/") папку системи.
### Методи аутентифікації
У середовищах з високою безпекою звичайною практикою є увімкнення лише аутентифікації на основі ключів або двофакторної аутентифікації, а не простого пароля. Але часто більш надійні методи аутентифікації увімкнені без вимкнення слабших. Частим випадком є увімкнення `publickey` у конфігурації openSSH і встановлення його як методу за замовчуванням, але без вимкнення `password`. Таким чином, використовуючи режим детального виводу клієнта SSH, зловмисник може побачити, що увімкнено слабший метод:
```bash
ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d 10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive
```
Наприклад, якщо встановлено обмеження на кількість невдалих спроб автентифікації і ви ніколи не отримуєте можливості дійти до методу пароля, ви можете використовувати опцію `PreferredAuthentications`, щоб примусити використовувати цей метод.
```bash
ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password
```
Перегляд конфігурації сервера SSH є необхідним для перевірки, що лише очікувані методи авторизовані. Використання режиму детального виводу на клієнті може допомогти побачити ефективність конфігурації.
### Config files
```bash
ssh_config
sshd_config
authorized_keys
ssh_known_hosts
known_hosts
id_rsa
```
## Fuzzing
- [https://packetstormsecurity.com/files/download/71252/sshfuzz.txt](https://packetstormsecurity.com/files/download/71252/sshfuzz.txt)
- [https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh_version_2](https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh_version_2)
## References
- Ви можете знайти цікаві посібники про те, як зміцнити SSH на [https://www.ssh-audit.com/hardening_guides.html](https://www.ssh-audit.com/hardening_guides.html)
- [https://community.turgensec.com/ssh-hacking-guide](https://community.turgensec.com/ssh-hacking-guide)
## HackTricks Automatic Commands
```
Protocol_Name: SSH
Port_Number: 22
Protocol_Description: Secure Shell Hardening
Entry_1:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh
Entry_2:
Name: consolesless mfs enumeration
Description: SSH enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'
```
{{#include ../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink