SSH Forward Agent exploitation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Podsumowanie

Co możesz zrobić, jeśli odkryjesz w pliku /etc/ssh_config lub w $HOME/.ssh/config taką konfigurację:

ForwardAgent yes

Jeśli jesteś rootem na maszynie, prawdopodobnie możesz uzyskać dostęp do dowolnego połączenia ssh nawiązanego przez dowolnego agenta, którego możesz znaleźć w katalogu /tmp

Podrobienie Boba przy użyciu jednego z agentów ssh Boba:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

Dlaczego to działa?

Gdy ustawiasz zmienną SSH_AUTH_SOCK, uzyskujesz dostęp do kluczy Boba, które były używane w połączeniu ssh Boba. Jeśli jego klucz prywatny nadal tam jest (zwykle tak będzie), będziesz mógł uzyskać dostęp do dowolnego hosta, używając go.

Ponieważ klucz prywatny jest przechowywany w pamięci agenta w postaci niezaszyfrowanej, zakładam, że jeśli jesteś Bobem, ale nie znasz hasła do klucza prywatnego, nadal możesz uzyskać dostęp do agenta i go użyć.

Inną opcją jest to, że użytkownik będący właścicielem agenta oraz root mogą uzyskać dostęp do pamięci agenta i wyodrębnić klucz prywatny.

Długie wyjaśnienie i eksploatacja

Sprawdź oryginalne badania tutaj

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Last updated