SFTP端口转发:启用被抑制的功能

作者:Charles Fisher
于 2023年2月22日
SFTP Port Forwarding: Enabling Suppressed Functionality

介绍

SSH协议支持三种主要的远程服务器活动类型:a) 命令执行(包括登录shell),b) 网络转发和操作,以及 c) 文件传输。

OpenSSH维护者认为sftpscp在端口转发(通过-L-R选项)方面没有合理的用途。在通过这些实用程序进行文件传输时,会无条件地将显式禁用这些功能的标志传递给子SSH可执行文件。

可能有些用户确实需要这些功能。一个明显的子集是渗透测试人员,他们负责验证公共SFTP服务器上是否显式禁用了此功能。

以下是两种启用这些被抑制功能的技术,通过修改sftp二进制文件本身中的字符串,或者通过能够轻松编辑命令行的shell进行重定向。根据平台的功能,可能需要其中一种技术来实现此目标。

抑制详情

首先,重要的是找到感兴趣的正在运行的进程。下面的shell函数将显示与shell模式匹配的PID(请注意,这不是正则表达式)。这在Debian dash(和大多数其他常见shell)下运行,并依赖于ps的BSD选项

pps () { local a= b= c= IFS=$'\r'; ps ax | while read -r a
    do [ "$b" ] || c=1; for b; do case "$a" in *"$b"*) c=1;;
        esac; done; [ "$c" ] && printf '%s\n' "$a" && c=; done; }

启动一个传统的SFTP会话,以便检查与其关联的进程

$ id
uid=1001(aturing) gid=1001(aturing) groups=1001(aturing)...

$ sftp aturing@sftp.victimandum.com
aturing@sftp.victimandum.com's password:
Connected to sftp.victimandum.com.
sftp>

我们在上面假设本地UNIX用户在远程SFTP服务器上拥有相同用户名的帐户。

一旦会话正在运行,本地进程搜索用户名将显示由SFTP衍生的子SSH进程

$ pps aturing
    PID TTY      STAT   TIME COMMAND
   9666 pts/0    S+     0:00 sftp aturing@sftp.victimandum.com
   9667 pts/0    S+     0:00 /usr/bin/ssh -oForwardX11 no -oPermitLocalCommand no -oClearAllForwardings yes -oForwardAgent no -l aturing -s -- sftp.victimandum.com sftp

上面的ClearAllForwardings yes参数将抑制任何转发尝试,除非采取行动来破坏它。

-L-R端口转发标志通常不作为SFTP命令行的有效选项出现,但我们可以使用-S选项显式触发它们,以指定自定义SSH处理程序,在本例中是邮件服务器

$ cat portssh
#!/bin/sh

exec ssh -L2525:smtp.victimandum.com:25 "$@"

如果没有转发抑制,这个SFTP调用就足以建立转发连接

$ sftp -S ./portssh -oClearAllForwardings\ no aturing@sftp.victimandum.com
aturing@sftp.victimandum.com's password:
Connected to sftp.victimandum.com.
sftp>

现在可以在子SSH进程中看到转发尝试

$ pps aturing
    PID TTY      STAT   TIME COMMAND
   9897 pts/0    S+     0:00 sftp -S ./portssh -oClearAllForwardings no aturing@sftp.victimandum.com
   9898 pts/0    S+     0:00 ssh -L2525:smtp.victimandum.com:25 -oForwardX11 no -oPermitLocalCommand no -oClearAllForwardings yes -o ClearAllForwardings no -oForwardAgent no -l aturing -s -- sftp.victimandum.com sftp

然而,由于显式覆盖,通过本地转发端口联系远程邮件服务器的尝试不成功

$ nc localhost 2525
$

这种无条件抑制在源代码中可见

$ sed -n /X11/,/Forwardings/p openssh-8.7p1/sftp.c
	addargs(&args, "-oForwardX11 no");
	addargs(&args, "-oPermitLocalCommand no");
	addargs(&args, "-oClearAllForwardings yes");

这些静态字符串在编译后的二进制文件中也可见

$ strings /usr/bin/sftp | grep [-]o[CFP]
-oForwardX11 no
-oPermitLocalCommand no
-oClearAllForwardings yes
-oForwardAgent no
-oPort %d

最后,文档明确指出这种抑制是故意的,并给出了为什么的合理理由

$ man ssh_config | sed -n /ClearAllForwardings/,/default/p
     ClearAllForwardings
             Specifies that all local, remote, and dynamic port forwardings
             specified in the configuration files or on the command line be
             cleared.  This option is primarily useful when used from the
             ssh(1) command line to clear port forwardings set in configura‐
             tion files, and is automatically set by scp(1) and sftp(1).  The
             argument must be yes or no (the default).

修改编译后的字符串

对于那些希望禁用默认ClearAllForwardings yes配置的人来说,一种选择是使用sed直接编辑SFTP二进制文件中的字符串(假设平台的sed是二进制安全的)

$ sed 's/AllForwardings yes/AllForwardings no /' < /usr/bin/sftp > sftp.noclearforward

这种直接修改比编译新的二进制文件要容易得多。

我们可以确认字符串已成功修改

$ strings ./sftp.noclearforward | grep [-]o[CFP]
-oForwardX11 no
-oPermitLocalCommand no
-oClearAllForwardings no
-oForwardAgent no
-oPort %d

虽然修改后的SFTP的内容和校验和将有所不同,但存在的任何Linux BuildID sha1 都将保持不变(但请在使用编辑过的SFTP时不要提交支持票)

$ file /usr/bin/sftp ./sftp.noclearforward
/usr/bin/sftp:         ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=d7e77e24d5fac0fdc89e62a4c9c656091f2c4a33, for GNU/Linux 3.2.0, stripped
./sftp.noclearforward: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=d7e77e24d5fac0fdc89e62a4c9c656091f2c4a33, for GNU/Linux 3.2.0, stripped

$ sha1sum /usr/bin/sftp ./sftp.noclearforward
d8bdaf0b4642b9c324f9c2e0aeee2d9578fbe383  /usr/bin/sftp
b12dda8ecfd7bd2847919b5531aea7c03364c123  ./sftp.noclearforward

$ sha256sum /usr/bin/sftp ./sftp.noclearforward
986eecdfc654c9b3ff3fd0dce59690d47cf56be96a4b98a04a3682aef95d3f52  /usr/bin/sftp
c8f99ce33fc129250c11dc6dbb8a01112e01124e470a92d0acefb955fd17d670  ./sftp.noclearforward

可以调用修改后的SFTP二进制文件来启用端口转发

$ chmod 755 sftp.noclearforward

$ ./sftp.noclearforward -S ./portssh aturing@sftp.victimandum.com
aturing@sftp.victimandum.com's password:
Connected to sftp.victimandum.com.
sftp>

修改后的设置现在在子进程中可见

$ pps aturing
    PID TTY      STAT   TIME COMMAND
   9991 pts/0    S+     0:00 ./sftp.noclearforward -S ./portssh aturing@sftp.victimandum.com
   9992 pts/0    S+     0:00 ssh -L2525:smtp.victimandum.com:25 -oForwardX11 no -oPermitLocalCommand no -oClearAllForwardings no  -oForwardAgent no -l aturing -s -- sftp.victimandum.com sftp

该功能已在远程服务器上启用并运行,并且可以在单独的shell中验证连接

$ nc localhost 2525
220 smtp.victimandum.com Microsoft ESMTP MAIL Service, Version: 1.2.3456.78901 ready at  Sun, 1 Jan 2023 01:23:45 -0100
^C

当服务器上禁用转发功能时,客户端将在连接尝试时收到指示此状态的通知

channel 3: open failed: administratively prohibited: open failed

分配不受信任帐户的SFTP管理员应验证服务器配置是否显式禁用了转发和命令执行。

超越POSIX Shell

虽然dash和POSIX标准提供set --作为重置命令行参数的方法,但在bashksh93中有一个更高级的功能可用

$ cat ynargs
#!/bin/bash

echo "${@//yes/no}"

一个快速测试确认编辑成功

$ ./ynargs -oForwardX11 no -oPermitLocalCommand yes -oClearAllForwardings yes -oForwardAgent no
-oForwardX11 no -oPermitLocalCommand no -oClearAllForwardings no -oForwardAgent no

请注意,上面的${@//.../...}不是有效的POSIX,并且在dash或任何派生自pdksh的shell(mkshoksh)中不起作用。许多平台没有捆绑具有此功能的shell(例如,Android和OpenBSD,尽管有添加它们的方法);与安装替代shell相比,二进制编辑技术对于受限平台可能更直接。

为了使用具有此功能的shell,我们创建一个目录,然后在其中创建一个SSH包装器,以清除问题设置

$ cat ~/switcharoo/ssh
#!/bin/bash

exec /usr/bin/ssh "${@//yes/no}"

然后在$PATH中将该目录设置在系统SSH之前

$ export PATH=~/switcharoo:$PATH

$ which ssh
~/switcharoo/ssh

然后我们在这种修改后的环境下调用系统SFTP

$ /usr/bin/sftp -S ./portssh aturing@sftp.victimandum.com
aturing@sftp.victimandum.com's password:
Connected to sftp.victimandum.com.
sftp>

我们观察到shell已重置问题参数

$ pps aturing
    PID TTY      STAT   TIME COMMAND
  10058 pts/0    S+     0:00 /usr/bin/sftp -S ./portssh aturing@sftp.victimandum.com
  10059 pts/0    S+     0:00 /usr/bin/ssh -L2525:smtp.victimandum.com:25 -oForwardX11 no -oPermitLocalCommand no -oClearAllForwardings no  -oForwardAgent no -l aturing -s -- sftp.victimandum.com sftp

再次确认与转发端口的本地连接

$ nc localhost 2525
220 smtp.victimandum.com Microsoft ESMTP MAIL Service, Version: 1.2.3456.78901 ready at  Sun, 1 Jan 2023 01:23:45 -0100
^C

作为最后的演示,可以使用以下脚本进行完整的SMTP交换

$ cat awkmail
#!/bin/gawk -f

BEGIN { smtp="/inet/tcp/0/localhost/2525";
ORS="\r\n"; r=ARGV[1]; s=ARGV[2]; sbj=ARGV[3]; # /bin/awkmail to from subj < in

print "helo " ENVIRON["HOSTNAME"]        |& smtp;  smtp |& getline j; print j
print "mail from:" s                     |& smtp;  smtp |& getline j; print j
if(match(r, ","))
{
 split(r, z, ",")
 for(y in z) { print "rcpt to:" z[y]     |& smtp;  smtp |& getline j; print j }
}
else { print "rcpt to:" r                |& smtp;  smtp |& getline j; print j }
print "data"                             |& smtp;  smtp |& getline j; print j

print "From: " s                         |& smtp;  ARGV[2] = ""   # not a file
print "To: " r                           |& smtp;  ARGV[1] = ""   # not a file
if(length(sbj)) { print "Subject: " sbj  |& smtp;  ARGV[3] = "" } # not a file
print ""                                 |& smtp

while(getline > 0) print                 |& smtp

print "."                                |& smtp;  smtp |& getline j; print j
print "quit"                             |& smtp;  smtp |& getline j; print j

close(smtp) } # /inet/protocol/local-port/remote-host/remote-port

我们可以使用该脚本将自身邮寄到目标SMTP服务器可访问的远程收件人

$ ./awkmail jatanasoff@victimandum.com aturning@localhost awkmail < awkmail
220 smtp.victimandum.com Microsoft ESMTP MAIL Service, Version: 1.2.3456.78901 ready at  Sun, 1 Jan 2023 01:23:45 -0100
250 smtp.victimandum.com Hello [1.2.3.4]
250 2.1.0 aturing@localhost....Sender OK
250 2.1.5 jatanasoff@victimandum.com
354 Start mail input; end with .
250 2.6.0 <A1B2C3D4E5F6G@smtp.victimandum.com> Queued mail for delivery

在高度受控的环境中,这些功能的存在是次优的。

服务器限制

SFTP管理员不希望允许其用户在服务器的帮助下建立任意TCP连接,这可能会使敏感网络面临风险,这是可以理解的。限制此活动是谨慎的安全设置。

常见的限制性配置是将不受信任的SFTP用户添加到组中,然后在sshd_config中约束该组的活动

Match Group sftponly
  ChrootDirectory %h
  ForceCommand internal-sftp
  AllowTcpForwarding no

这种推荐的配置通常足以阻止所有转发尝试。

可能建议添加DisableForwarding yes

$ man sshd_config | sed -n /DisableForwarding/,/configurations/p
     DisableForwarding
             Disables all forwarding features, including X11, ssh-agent(1),
             TCP and StreamLocal.  This option overrides all other forwarding-
             related options and may simplify restricted configurations.

这留给管理员作为练习。

结论

过度限制性的SFTP客户端设置可能会在一定程度上导致服务器管理盲点。SFTP客户端限制很容易通过多种方法规避。

SFTP服务器管理员务必了解限制了什么以及在哪里,并且不要依赖客户端来保护服务器免受任意TCP控制。客户端受用户控制,如果配置不当,则很容易实现对服务器的TCP命令。任何测试都应在用户的ssh_config中没有设置大量转发的情况下进行,并注意文档中的警告。

虽然这种功能可能有一些合理的用途,但滥用的情况会更多。

这些担忧并非新鲜事,因为site exec的变体已经在明文FTP中存在了几十年。SFTP不是明文文件传输的简单替代品,但它本身也具有许多容易被利用的功能。

希望管理员将使用这些方法验证其服务器的安全性,以免措手不及。

Charles Fisher拥有爱荷华大学的电气工程学位,并在一家财富500强矿业和制造公司担任系统和数据库管理员。

加载Disqus评论

近期文章

Stay Ahead of the Game: Essential Tools and Techniques for Linux Server Monitoring
保持领先:Linux服务器监控的必要工具和技术
George Whittaker
Linux Meets AI: Top Machine Learning Frameworks You Need to Know
Linux meets AI:您需要了解的顶级机器学习框架
George Whittaker
Linux Memory Management: Understanding Page Tables, Swapping, and Memory Allocation
Linux内存管理:理解页表、交换和内存分配
George Whittaker
Mastering Software Package Management with Yum and DNF on CentOS and RHEL
掌握在CentOS和RHEL上使用Yum和DNF进行软件包管理
George Whittaker
Streamline Your Logs: Exploring Rsyslog for Effective System Log Management on Ubuntu
简化您的日志:探索Rsyslog在Ubuntu上进行有效的系统日志管理
George Whittaker
Linux Networking Protocols: Understanding TCP/IP, UDP, and ICMP
Linux网络协议:理解TCP/IP、UDP和ICMP
George Whittaker