SSH Forward Agent exploitation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Resumen

¿Qué puedes hacer si descubres dentro de /etc/ssh_config o dentro de $HOME/.ssh/config esta configuración:

ForwardAgent yes

Si eres root dentro de la máquina, probablemente puedas acceder a cualquier conexión ssh realizada por cualquier agente que puedas encontrar en el /tmp directorio.

Suplantar a Bob usando uno de los ssh-agent de Bob:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

¿Por qué funciona esto?

Cuando estableces la variable SSH_AUTH_SOCK, estás accediendo a las claves de Bob que se han utilizado en la conexión ssh de Bob. Entonces, si su clave privada todavía está allí (normalmente lo estará), podrás acceder a cualquier host usándola.

Como la clave privada se guarda en la memoria del agente sin cifrar, supongo que si eres Bob pero no conoces la contraseña de la clave privada, aún puedes acceder al agente y usarla.

Otra opción es que el usuario propietario del agente y root puedan acceder a la memoria del agente y extraer la clave privada.

Explicación larga y explotación

Consulta la investigación original aquí

Apoya a HackTricks

Consulta los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousSplunk LPE and Persistence NextWildcards Spare tricks

Last updated 4 months ago