SSH Forward Agent exploitation

Support HackTricks

Zusammenfassung

Was können Sie tun, wenn Sie in der Konfiguration von /etc/ssh_config oder in $HOME/.ssh/config Folgendes entdecken:

ForwardAgent yes

Wenn Sie root auf der Maschine sind, können Sie wahrscheinlich auf jede ssh-Verbindung zugreifen, die von einem Agenten hergestellt wurde, den Sie im /tmp-Verzeichnis finden.

Geben Sie sich als Bob aus, indem Sie einen von Bobs ssh-Agenten verwenden:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

Warum funktioniert das?

Wenn Sie die Variable SSH_AUTH_SOCK setzen, greifen Sie auf die Schlüssel von Bob zu, die in Bobs SSH-Verbindung verwendet wurden. Wenn sein privater Schlüssel noch vorhanden ist (normalerweise wird er es sein), können Sie auf jeden Host zugreifen, der ihn verwendet.

Da der private Schlüssel unverschlüsselt im Speicher des Agents gespeichert ist, nehme ich an, dass Sie, wenn Sie Bob sind, aber das Passwort des privaten Schlüssels nicht kennen, dennoch auf den Agenten zugreifen und ihn verwenden können.

Eine andere Möglichkeit ist, dass der Benutzer, der Eigentümer des Agents, und root möglicherweise auf den Speicher des Agents zugreifen und den privaten Schlüssel extrahieren können.

Lange Erklärung und Ausnutzung

Überprüfen Sie die ursprüngliche Forschung hier

Unterstützen Sie HackTricks

Last updated