Résumé

Que pouvez-vous faire si vous découvrez à l'intérieur du fichier /etc/ssh_config ou du fichier $HOME/.ssh/config cette configuration :

ForwardAgent yes

Si vous êtes root à l'intérieur de la machine, vous pouvez probablement accéder à toute connexion ssh établie par n'importe quel agent que vous pouvez trouver dans le répertoire /tmp

Faites-vous passer pour Bob en utilisant l'un des agents ssh de Bob:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

Pourquoi cela fonctionne-t-il?

Lorsque vous définissez la variable SSH_AUTH_SOCK, vous accédez aux clés de Bob qui ont été utilisées dans la connexion ssh de Bob. Ensuite, si sa clé privée est toujours là (normalement, elle le sera), vous pourrez accéder à n'importe quel hôte en l'utilisant.

Comme la clé privée est enregistrée en clair dans la mémoire de l'agent, je suppose que si vous êtes Bob mais que vous ne connaissez pas le mot de passe de la clé privée, vous pouvez quand même accéder à l'agent et l'utiliser.

Une autre option est que l'utilisateur propriétaire de l'agent et root peut accéder à la mémoire de l'agent et extraire la clé privée.

Explication détaillée et exploitation

Consultez la recherche originale ici