摘要

如果您在/etc/ssh_config或$HOME/.ssh/config配置文件中发现以下内容，您可以做什么：

ForwardAgent yes

如果您是机器内的root用户，您可能可以访问在/tmp目录中找到的任何代理生成的ssh连接

使用Bob的ssh-agent之一冒充Bob:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

为什么会起作用？

当你设置变量 SSH_AUTH_SOCK 时，你正在访问 Bob 的密钥，这些密钥已经在 Bob 的 ssh 连接中使用过。然后，如果他的私钥仍然存在（通常会存在），你将能够使用它来访问任何主机。

由于私钥以未加密的形式保存在代理的内存中，我认为如果你是 Bob，但不知道私钥的密码，你仍然可以访问代理并使用它。

另一个选项是，代理的用户所有者和 root 用户可能能够访问代理的内存并提取私钥。

长说明和利用

查看原始研究