Opsomming

Wat kan jy doen as jy binne die /etc/ssh_config of binne $HOME/.ssh/config-konfigurasie hierdie ontdek:

ForwardAgent yes

As jy root binne die masjien is, kan jy waarskynlik toegang verkry tot enige ssh-verbinding wat deur enige agent gemaak is wat jy in die /tmp gids kan vind.

Impersonateer Bob deur een van Bob se ssh-agente te gebruik:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

Hoekom werk dit?

Wanneer jy die veranderlike SSH_AUTH_SOCK stel, het jy toegang tot die sleutels van Bob wat gebruik is in Bob se ssh-verbinding. As sy privaat sleutel nog daar is (normaalweg sal dit wees), sal jy in staat wees om enige gasheer daarmee te benader.

Aangesien die privaat sleutel in die geheue van die agent onversleutel is, vermoed ek dat as jy Bob is maar nie die wagwoord van die privaat sleutel weet nie, kan jy steeds toegang tot die agent verkry en dit gebruik.

'n Ander opsie is dat die gebruiker wat eienaar is van die agent en root moontlik toegang tot die geheue van die agent kan verkry en die privaat sleutel kan onttrek.

Lang verduideliking en uitbuiting

Kyk na die oorspronklike navorsing hier