SSH Forward Agent exploitation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

सारांश

यदि आप /etc/ssh_config या $HOME/.ssh/config कॉन्फ़िगरेशन के अंदर यह खोजते हैं:

ForwardAgent yes

यदि आप मशीन के अंदर रूट हैं, तो आप शायद किसी भी एजेंट द्वारा बनाए गए किसी भी ssh कनेक्शन तक पहुँच सकते हैं जिसे आप /tmp निर्देशिका में पा सकते हैं।

बॉब के ssh-agent में से एक का उपयोग करके बॉब का अनुकरण करें:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

यह काम क्यों करता है?

जब आप वेरिएबल SSH_AUTH_SOCK सेट करते हैं, तो आप बॉब की उन कुंजियों तक पहुँच रहे हैं जो बॉब के ssh कनेक्शन में उपयोग की गई थीं। फिर, यदि उसकी निजी कुंजी अभी भी वहाँ है (सामान्यतः यह होगी), तो आप इसका उपयोग करके किसी भी होस्ट तक पहुँच सकते हैं।

चूंकि निजी कुंजी एजेंट की मेमोरी में अनक्रिप्टेड रूप में सहेजी जाती है, मैं मानता हूँ कि यदि आप बॉब हैं लेकिन आपको निजी कुंजी का पासवर्ड नहीं पता है, तो आप अभी भी एजेंट तक पहुँच सकते हैं और इसका उपयोग कर सकते हैं।

एक और विकल्प यह है कि एजेंट के मालिक उपयोगकर्ता और रूट एजेंट की मेमोरी तक पहुँच सकते हैं और निजी कुंजी को निकाल सकते हैं।

लंबा विवरण और शोषण

मूल शोध यहाँ देखें

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousSplunk LPE and Persistence NextWildcards Spare tricks

Last updated 1 month ago