SSH Forward Agent exploitation

Aprende hacking en AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
Obtén la merchandising oficial de PEASS & HackTricks
Descubre The PEASS Family, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦 @carlospolopm.
Comparte tus trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Resumen

¿Qué puedes hacer si descubres dentro de la configuración /etc/ssh_config o dentro de $HOME/.ssh/config esto:

ForwardAgent yes

Si eres root dentro de la máquina, probablemente puedas acceder a cualquier conexión ssh realizada por cualquier agente que encuentres en el directorio /tmp

Suplantar a Bob utilizando uno de los ssh-agent de Bob:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

¿Por qué funciona esto?

Cuando estableces la variable SSH_AUTH_SOCK, estás accediendo a las claves de Bob que se han utilizado en la conexión ssh de Bob. Entonces, si su clave privada todavía está allí (normalmente lo estará), podrás acceder a cualquier host usándola.

Como la clave privada se guarda en la memoria del agente sin cifrar, supongo que si eres Bob pero no conoces la contraseña de la clave privada, aún puedes acceder al agente y usarla.

Otra opción es que el usuario propietario del agente y root puedan acceder a la memoria del agente y extraer la clave privada.

Explicación detallada y explotación

Consulta la investigación original aquí

AnteriorSplunk LPE and Persistence SiguienteWildcards Spare tricks

Última actualización hace 3 meses