Zusammenfassung

Was können Sie tun, wenn Sie in der Konfiguration /etc/ssh_config oder in der Konfiguration $HOME/.ssh/config Folgendes entdecken:

ForwardAgent yes

Wenn Sie als Root-Benutzer in der Maschine sind, können Sie wahrscheinlich auf jede SSH-Verbindung zugreifen, die von einem beliebigen Agenten hergestellt wurde, den Sie im /tmp-Verzeichnis finden können.

Geben Sie sich als Bob aus, indem Sie einen von Bobs ssh-agent verwenden:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

Warum funktioniert das?

Wenn Sie die Variable SSH_AUTH_SOCK setzen, greifen Sie auf die Schlüssel von Bob zu, die in Bobs SSH-Verbindung verwendet wurden. Wenn sein privater Schlüssel noch vorhanden ist (normalerweise ist er das), können Sie damit auf jeden Host zugreifen.

Da der private Schlüssel im unverschlüsselten Zustand im Speicher des Agenten gespeichert ist, vermute ich, dass Sie als Bob, auch wenn Sie das Passwort des privaten Schlüssels nicht kennen, immer noch auf den Agenten zugreifen und ihn verwenden können.

Eine andere Möglichkeit besteht darin, dass der Benutzer, dem der Agent gehört, und der Root-Benutzer möglicherweise auf den Speicher des Agenten zugreifen und den privaten Schlüssel extrahieren können.

Ausführliche Erklärung und Ausnutzung

Überprüfen Sie die ursprüngliche Forschung hier