SSH – Port Forwarding
En este post se explicará como realizar port forwarding con ssh y se verá alguna de sus posibles aplicaciones.
Introducción
El protocolo ssh es comúnmente utilizado para acceder a un terminal/sistema remoto y poder ejecutar comandos de forma segura. Sin embargo, también es posible utilizar este protocolo para realizar port forwarding, es decir, reenviamiento de puertos mediante la creación de túneles ssh entre los extremos de la conexión.
Con este mecanismo es posible realizar evasiones de firewall o bloqueos de puertos, independientemente de que el emisor-receptor se encuentren en redes diferentes, siempre que haya la posibilidad de conectarse mediante SSH.
Escenario de demostración
Para realizar esta demo se han utilizado tres máquinas diferentes en dos redes, externa e interna:
- Kali Linux de nombre «Sheron» y IP 192.168.1.58, con un cliente SSH y cuyo rol es el de ser la máquina atacante. Se encuentra en la red externa.
- Kali Linux de nombre «Goku» y con dos direcciones IP: 192.168.1.46 y 192.168.2.136, con un servidor ssh y cuyo rol es el de router entre la red externa (192.168.1.XX) y la red interna (192.168.2.XX).
- Windows XP de nombre «Mutenroshi», con IP 192.168.2.133, cuyo rol es ser, como no, la máquina víctima. Se encuentra en la red interna.
Este escenario intenta simular un ataque realizado desde Internet hacia el router de la víctima, y una vez el atacante tiene el control de dicho router mediante el uso de túneles ssh puede interaccionar con las máquinas de la red interna.
Nota: Únicamente el router tiene visibilidad de las dos redes, la máquina atacante no puede ver directamente la máquina víctima.
Parte I: Comunicaciones entre el atacante y el router
Local Port Forwarding entre la máquina atacante y el router
Los actores que participan son los siguientes:
- Atacante: Kali Linux con IP 192.168.1.58 desde Internet
- Víctima: Router con IP 192.168.1.46 accesible desde Internet
Nota: En este escenario, el atacante ya ha conseguido previamente un usuario del router
El objetivo es conseguir que un servicio publicado del router sea redireccionado a la máquina atacante. En este caso concreto, se enviará el puerto remoto 80 del router al puerto local 8080 de la máquina atacante.
Para lograrlo, se ejecuta lo siguiente en el cliente ssh (192.168.1.58) :
ssh -N -f -L localhost:8080:localhost:80 nyanyi@192.168.1.46
La explicación de la instrucción es la siguiente:
- N: No se ejecutan comandos remotos, únicamente se establece conexión.
- f: Se envía ssh a background.
- L: Como el servicio deseado esta siendo publicado por el servidor ssh en el router, no por el cliente ssh en la Kali atacante, se ha de realizar un Local Port Forwarding. El concepto sería que el cliente de ssh se «trae» localmente el servicio remoto publicado por el servidor ssh.
- <puerto destino del cliente ssh>:<ip origen de la red interna del servidor ssh:puerto origen de la ip de la red interna del servidor ssh> <user@ip_servidor ssh>
- <local port to listen>:<remote host>:<remote port> <gateway>
Remote Port Forwarding entre la máquina atacante y el router
Los actores que participan son los siguientes:
- Atacante: Kali Linux con IP 192.168.1.58 desde Internet
- Víctima: Router con IP 192.168.1.46 accesible desde Internet
El objetivo es conseguir publicar un servicio local del cliente ssh (atacante) de forma remota en el servidor ssh (router). Se enviará el puerto local 80 de Kali Linux con IP 192.168.1.58 al puerto remoto 8085 del router con IP 192.168.1.46.
Para lograrlo, se ejecuta lo siguiente en el cliente ssh (192.168.1.58):
ssh -N -f -R localhost:8085:localhost:80 nyanyi@192.168.1.46
La explicación de la instrucción es la siguiente:
- R: En este caso, el servicio se está publicando en el cliente ssh (atacante), por lo tanto hay que «enviarlo» al servidor ssh (router), esto se realiza mediante un Remote Port Forwarding.
- <puerto destino de la dirección ip del servidor ssh><ip origen de la red del atacante:puerto origen de la ip de la red del atacante> <user@ip_servidor ssh>
- <remote port to bind>:<local host>:<local port> <gateway>
Truco
Para saber si hay que realizar Local o Remote port forwarding, un truco sencillo es «ubicar» el servicio que se desea redirigir. Si el servicio está publicado en el servidor ssh y se desea publicarlo en el cliente, entonces es Local, por el contrario, si el servicio se encuentra en el cliente ssh y se desea publicar en el servidor ssh, entonces será Remote.
Parte II: Atacando a la red interna – Servidor ssh como máquina puente
En este punto, el atacante (Kali Linux con IP 192.168.1.58) quiere atacar a la máquina víctima Windows XP (IP 92.168.2.133) ubicada en la red interna y que no es visible desde el exterior. Para conseguir este hito el atacante utilizará el router ( que tiene un servidor ssh instalado) como máquina puente.
Local Port forwarding desde la máquina víctima a la máquina atacante
El objetivo es conseguir redirigir (o para entendernos, capturar) el servicio RDP de la máquina Windows XP (interna) a la máquina atacante (externa) mediante el servidor de ssh (router) . En este caso concreto, se enviará el puerto 3389 de Windows XP (192.168.2.133) al puerto 9090 de máquina atacante (192.168.1.58) utilizando para ello el router (servidor de ssh), como máquina de salto.
Para lograrlo, se ejecuta lo siguiente en la máquina atacante:
ssh -N -f -L localhost:9090:192.168.2.133:3389 nyanyi@192.168.1.46
La explicación de la instrucción es la siguiente:
- L: Como el servicio deseado esta siendo publicado por una dirección IP de la red interna del servidor ssh y/o no es un servicio propio del cliente ssh, la máquina atacante realiza un Local Port Forwarding para «traerse» el servicio
- <puerto destino del cliente ssh><ip origen del lado servidor ssh:puerto origen del lado servidor ssh> <user@ip_servidor ssh>
En este punto es importante remarcar que cuando se realiza un Local Port al cliente ssh, el puerto redirigido puede acceptar conexiones externas de otras máquinas. La instrucción sería:
ssh -N -f -L 0.0.0.0:port cliente:ip red interna:port_ip_red_interna user@server_ssh
Remote Port forwarding desde la máquina atacante a la máquina cliente sin usuario root del servidor ssh
En el apartado anterior se ha comentado la posibilidad de permitir conexiones entrantes a un servicio redirigido locamente al cliente ssh. Pero,por seguridad, no es posible permitir que el servidor ssh acepte conexiones entrantes a un servicio publicado mediante Remote Port forwarding… ¿Seguro que no es posible?
La respuesta a esta pregunta es que utilizando diferentes técnicas sí que es posible, pero es un poco más complicado que lo visto hasta ahora. Se puede realizar si el atacante es root del servidor ssh o utilizando dos túneles y/o el parámetro -g (bendito parámetro).
Aceptación de conexiones entrantes mediante dos túneles
El objetivo es conseguir publicar el servidor web de la máquina atacante en el servidor ssh (router) y que la máquina víctima de la red interna se pueda conectar.
En la máquina atacante (cliente ssh) se utiliza la siguiente instrucción:
ssh -R localhost:7894:localhost:80 nyanyi@192.168.1.46
Ahora, en el ROUTER, se ejecuta la siguiente instrucción:
ssh -g -L 8282:localhost:7894 nyanyi@localhost
- El parámetro g, extraído directamente del man de ssh: Allows remote hosts to connect to local forwarded ports.
Otra manera de hacerlo, inclusive sin el parámetro g es:
ssh -L 0.0.0.0:8226:localhost:7894 nyanyi@localhost
Aceptación de conexiones entrantes siendo root del servidor ssh
En el caso que el atacante disponga del usuario root (o usuarios con privilegios sudo) puede modificar la configuración del servidor ssh para que acepte conexiones entrantes en puertos redirigidos de forma remota.
El fichero que se ha de modificar es: /etc/ssh/sshd_config y se ha de escribir la siguiente opción: GatewayPorts clientspecified
Luego: sudo /etc/init.d/ssh reload
Y finalmente, la instrucción que se ha de ejecutar desde el cliente ssh es:
ssh -R 0.0.0.0:8095:localhost:80 nyanyi@192.168.1.46
Nota: En este caso, con una sola instrucción ya sirve, en contraposición con el caso anterior, que se necesitan dos instrucciones. Eso si, se ha de ser root.
Comprobaciones de las conexiones
A continuación se listan varios comandos con «netstat» que se pueden utilizar para comprobar el estado de las conexiones realizadas:
- netstat -punta
- netstat -ltn
Parte III: Caso Práctico – Atacando con Metasploit a la víctima
En este punto, el atacante dispone de lo siguiente:
1- Acceso a la maquina router con usuario «low privilege».
2- Conoce que en la máquina Windows XP se está ejecutando un software vulnerable «WarFTP ver 1.65» en el puerto 21 y que hay un exploit en Metasploit.
3- Al no haber visibilidad entre la máquina atacante y la víctima (redes diferentes) se ha de utilizar la máquina router y su servidor de ssh para redirigir las comunicaciones.
Nota: Los puertos que se utilizan en este escenario (excepto el 21) son aleatorios.
Local Port Forwarding del puerto 21 de la máquina víctima a la máquina atacante
En la máquina atacante, se ejecuta la siguiente instrucción:
ssh -N -f -L 5668:192.168.2.133:21 nyanyi@192.168.1.46
En este momento, en la máquina atacante está publicado en el puerto 5668 el puerto 21 (servicio War FTPD vulnerable) de la máquina Windows XP (víctima) utilizando el router como máquina de salto.
Remote Port Forwarding del puerto 2682 de la maquina atacante al servidor ssh
El atacante tiene diferentes opciones para realizar la conexión con el payload, como podría ser utilizar una máquina con una dirección pública o inclusive un payload de conexión directa (bind shell). Pero en esta demo se va a realizar mediante una reverse shell dado que se requiere una configuración más compleja.
Al utilizar Metasploit, es necesario redirigir un puerto de la máquina atacante en el servidor SSH para que el payload (meterpreter) realice la conexión a traves de una reverse shell hacia este puerto.
En la máquina atacante se ejecuta la siguiente instrucción:
ssh -R 7895:localhost:2682 nyanyi@192.168.1.46
Y ahora es necesario configurar en el servidor ssh que se acepten conexiones remotas. Por lo tanto, en el servidor ssh se debe ejecutar alguna de las siguientes instrucciones:
ssh -g -L 2682:localhost:7895 nyanyi@localhost
ssh -L 0.0.0.0:2682:localhost:7895 nyanyi@localhost
Nota: Recordar que también es posible modificar la configuración del servidor ssh si se dispone del usuario root.
Configuración del ataque con Metasploit
La configuración del ataque con Metasploit se realiza de la siguiente manera:
Donde:
- RHOST: Se indica la dirección 0.0.0.0 ya que el exploit será lanzado contra la misma máquina cliente (atacante) ya que tiene redirigido el puerto de la máquina víctima.
- RPORT: Se indica 5668 por que es el puerto que redirige al puerto 21 de la maquina víctima. En resumen, se lanzara el ataque a la misma máquina atacante por que mediante la redirección de puertos por ssh realmente el ataque alcanzará a la máquina víctima.
- Atención: Metasploit y los túneles SSH suelen dar problemas. Es más recomendable utilizar dynamic port forwarding ( SSH -D port) y las instrucciones «set Proxies socks4:0.0.0.0:port»
y «set ReverseAllowProxy true» que no redireccionamientos con -L o -R. En el caso de utilizar puertos remotos o locales, como en este ejercicio, no hay que utilizar NUNCA la dirección 127.0.0.1 en RHOST, ya que podría impedir el correcto funcionamiento del exploit/payload utilizado. Se puede substituir por la dirección 127.0.0.2 o semejantes, aunque lo mejor en estos casos, es utilizar la dirección 0.0.0.0 - LHOST: Se indica la dirección IP del servidor ssh visible desde la red de la víctima.
- LPORT: Se indica el puerto redirigido remotamente desde la máquina atacante al servidor ssh.
- Mediante la configuración de LHOST y LPORT cuando se ejecute el payload, éste intentara conectarse al servidor SSH que a su vez, redirigirá las comunicaciones a la máquina atacante mediante los puertos SSH creados.
A continuación se muestra una imagen de como el ataque tiene éxito:
Nota: Esta fuera del alcance de este post explicar conceptos de metasploit.
Testpurposes 