Skip to main content

SSH劫持

SSH 是一个可以用于远程访问主机的网络协议,广泛运用于 Linux 主机,并且如今 SSH 在 Windows 主机上的使用也越来越广泛。SSH 不仅支持密码登陆,还支持密钥登陆。如果使用密钥认证的话,需要用户通过 ssh-keygen 命令先生成一对私钥与公钥。用户的公钥通常存储为用户目录下的 .ssh/id_rsa.pub,例如 /home/alice/.ssh/id_rsa.pub,私钥则为 /home/alice/.ssh/id_rsa。除此之外,如果该用户使用 SSH 访问远程主机,远程主机信息会记录在 /home/alice/.ssh/known_hosts中。/home/alice/.ssh/authorized_keys 中保存了可以使用公钥登陆至该主机的用户。

对于攻击者而言,最有吸引力的无疑是 SSH 私钥,因为它可以授予我们访问任何接受该密钥的主机,对于横向移动尤其有用。我们可以在入侵了一台配置有 SSH 服务的主机后搜集各个用户的 SSH 私钥实现持久访问,但如果我们以其他途径获得了 SSH 私钥,那么可以扩大攻击范围。例如,我们可以通过文件包含漏洞读取到权限配置不当的 SSH 私钥,或者当前主机的用户保存了其他主机上用户的 SSH 私钥。这对于开发与生产环境是比较常见的,员工可能需要通过 SSH 连接到多台服务器上作业,因此索性在用户目录下保存了多个主机的 SSH 私钥。然而, SSH 私钥可以被 passphrase 所保护,这个 passphrase 可以在生成 SSH 密钥对的时候设置,是可选的。对于贪图方便的员工,可能就一路回车跳过了这个环节,但也有员工在此过程中设置了 passphrase。幸运的是,即便用户设置了 passphrase,我们是有可能离线破解出来的,如果我们的字典中包含这个 passphrase。

对于设置了 passphrase 的 SSH 私钥,我们会在文件中发现 Proc-Type: 4,ENCRYPTED 的字样。我们可以使用 ssh2john 提取 passphrase:ssh2john id_rsa > passphrase.txt。然后使用 john 来破解:john --wordlist=rockyou.txt passphrase.txt

我们来总结一下针对 SSH 密钥的枚举步骤:
1:搜索名为 id_rsa 的文件,当然,私钥可能会被改名,例如 alice.key。
2:检查私钥是否有 passphrase,如果有,尝试破解出 passphrase。
3:查看 authorized_keys,判断哪些用户/主机可以连接到该主机(后文提及利用手法)。从后利用角度,我们也可以将自己的 SSH 公钥添加到该文件末尾,实现持久化访问。
4:查看 known_hosts,配合命令记录判断该用户连接过哪些主机。known_hosts 中的内容可能被哈希过。
5:尝试连接其他主机


SSH 有一个特性叫 Control Master,可以通过单个网络连接共享多个会话。这意味着只要用户建立起第一个 SSH 会话,那么后续的 SSH 连接不再需要密码,从而实现尾随在第一个会话身后。一个常见的情景就是,主机 web02 上的用户正在通过 SSH 访问 web03,而我们已经入侵了 web03,我们可以尾随用户从而无须密码便能移动到 web03。

利用方式如下:
1:假设该主机已经开启 ControlMaster了,在 .ssh 文件夹中会存在 config文件,内容如下
Host *
 ControlPath ~/.ssh/controlmaster/%r@%h:%p
 ControlMaster auto
 ControlPersist yes
List
2:进入 .ssh 文件夹下的 contromaster 子文件夹,我们会发现 socket 文件,文件名格式为 user@host:22。
3:这时候,我们通过命令 ssh user@host 无密码移动到当前用户所在的主机上。

即便当前用户尚未开启 ControlMaster,我们可以替他开启,这样在用户下次访问其他主机的时候,我们就能实现劫持。总结一下,我们在 A 主机上发现用户正在通过 SSH 访问 B 主机,我们可以劫持该会话,尾随在用户后面,无密码移动到主机 B。


除此之外,我们还可以通过 SSH 代理以及 SSH 代理转发实现横向移动。SSH 代理追踪了用户的密钥和 passphrase,因此在输入一次 passphrase 后,用户不再需要重复输入 passphrase,是一种 SSO 的实现。

情景以及利用手法如下:
受害用户从主机A 正在访问主机 B,而我们已经入侵了主机 B,试图移动到主机C。
1:主机 A 已经配置了 SSH代理,在主机 B 上也已经在 sshd_config 中配置了SSH 代理转发:AllowAgentForwarding yes
2:受害用户的私钥被主机 C 所接受,但受害用户尚未连接主机 C
3:攻击者在主机 B 上访问主机 C,无须输入 passphrase。

SSH ControlMaster

root

 

低特权

 

SSH 代理转发

root


低特权

 

Back to top