Skip to main content

SSH劫持

SSH 是一个可以用于远程访问网络设备的网络协议,广泛运用于 Linux 主机,并且如今 SSH 在 Windows 主机上的使用也越来越广泛。对于我们网络安全人士,直观地概括就是 SSH 会话能给予我们完全交互式的 Shell。SSH 还可以与 FTP 服务集成,以加强文件安全性。因为 SSH 能访问主机的特性,也被一些集中式管理工具集成,以对受管理的主机进行命令执行分发 IT 任务等,

SSH 不仅支持密码登陆,还支持密钥登陆。如果使用密钥认证的话,需要用户通过 ssh-keygen 命令先生成一对私钥与公钥。从 IT 管理员的角度来看,应当尽可能禁用密码认证,只允许密钥认证。尽管基于密钥的认证更加安全,但如果密钥相关的重要文件被窃取或者攥改了,也会导致主机被入侵。对于攻击者,这可以帮助我们实现横向移动。因为如今 Windows 也支持 SSH 服务,针对 SSH 的成功攻击不仅可以让我们入侵更多的 Linux 主机,也可以让我们拿下 Windows 主机以及实现对特权用户的模仿。

SSH 重要文件

id_rsa

id _rsa 是用户的 SSH 私钥,私钥文件应该被保护好,只有所有者用户才允许拥有读写权限。因为对于攻击者而言,这是最有吸引力的了,SSH 私钥可以授予我们访问任何信任该密钥的主机,在横向移动方面尤其有效。我们不仅可以在入侵了一台配置有 SSH 服务的主机后生成或搜集各个用户的 SSH 私钥以实现持久化访问,如果我们发现了可能是用于连接其他主机的私钥,那么我们便可以连接到其他主机。这在开发与生产环境是比较常见的,因为员工可能需要通过 SSH 连接到多台主机上作业,因此索性在用户目录下保存了多个主机的 SSH 私钥,这样的图省事带来的是多个主机一并被入侵。

默认情况下,私钥文件存储为 ~/.ssh/id_rsa 目录中,需要通过 ssh-keygen 命令生成或者覆盖现有的,用户还可以指定 passphrase 来保护密钥,但对于贪图方便的用户,可能就一路回车跳过了这个环节。而对于设置了 passphrase 的私钥,可以在开头看见加密的字样,我们可以对其进行离线字典破解恢复出 passphrase,方可使用私钥。


id_rsa.pub

这是id_rsa对应的公钥。 它可以自由分发,通常添加到用户希望使用 SSH 访问的任何远程系统上的 ~/.ssh/authorized_keys 文件中。 当您尝试连接到远程系统时,系统使用此公钥加密质询消息,如果您可以使用您的私钥解密该消息(从而证明您拥有相应的私钥),您将获得访问权限。


authorized_keys



known_hosts



对于设置了 passphrase 的 SSH 私钥,我们会在文件中发现 Proc-Type: 4,ENCRYPTED 的字样。我们可以使用 ssh2john 提取 passphrase:ssh2john id_rsa > passphrase.txt。然后使用 john 来破解:john --wordlist=rockyou.txt passphrase.txt

我们来总结一下针对 SSH 密钥的枚举步骤:
1:搜索名为 id_rsa 的文件,当然,私钥可能会被改名,例如 alice.key。
2:检查私钥是否有 passphrase,如果有,尝试破解出 passphrase。
3:查看 authorized_keys,判断哪些用户/主机可以连接到该主机(后文提及利用手法)。从后利用角度,我们也可以将自己的 SSH 公钥添加到该文件末尾,实现持久化访问。
4:查看 known_hosts,配合命令记录判断该用户连接过哪些主机。known_hosts 中的内容可能被哈希过。
5:尝试连接其他主机


SSH 有一个特性叫 Control Master,可以通过单个网络连接共享多个会话。这意味着只要用户建立起第一个 SSH 会话,那么后续的 SSH 连接不再需要密码,从而实现尾随在第一个会话身后。一个常见的情景就是,主机 web02 上的用户正在通过 SSH 访问 web03,而我们已经入侵了 web03,我们可以尾随用户从而无须密码便能移动到 web03。

利用方式如下:
1:假设该主机已经开启 ControlMaster了,在 .ssh 文件夹中会存在 config文件,内容如下

Host *
 ControlPath ~/.ssh/controlmaster/%r@%h:%p
 ControlMaster auto
 ControlPersist yes
List


2:进入 .ssh 文件夹下的 contromaster 子文件夹,我们会发现 socket 文件,文件名格式为 user@host:22。
3:这时候,我们通过命令 ssh user@host 无密码移动到当前用户所在的主机上。

即便当前用户尚未开启 ControlMaster,我们可以替他开启,这样在用户下次访问其他主机的时候,我们就能实现劫持。总结一下,我们在 A 主机上发现用户正在通过 SSH 访问 B 主机,我们可以劫持该会话,尾随在用户后面,无密码移动到主机 B。


除此之外,我们还可以通过 SSH 代理以及 SSH 代理转发实现横向移动。SSH 代理追踪了用户的密钥和 passphrase,因此在输入一次 passphrase 后,用户不再需要重复输入 passphrase,是一种 SSO 的实现。

情景以及利用手法如下:
受害用户从主机A 正在访问主机 B,而我们已经入侵了主机 B,试图移动到主机C。
1:主机 A 已经配置了 SSH代理,在主机 B 上也已经在 sshd_config 中配置了SSH 代理转发:AllowAgentForwarding yes
2:受害用户的私钥被主机 C 所接受,但受害用户尚未连接主机 C
3:攻击者在主机 B 上访问主机 C,无须输入 passphrase。

SSH ControlMaster

root


低特权


SSH 代理转发

root


低特权


Back to top