SSH Forward Agent exploitation
Summary
/etc/ssh_config
または$HOME/.ssh/config
内でこのような設定を発見した場合、何ができるでしょうか:
もしマシン内でroot権限を持っている場合、おそらく/tmpディレクトリ内で見つけることができるsshエージェントを使用して、Bobをなりすますことができます:
BobをなりすますためにBobのssh-agentの1つを使用します:
なぜこれが機能するのか?
SSH_AUTH_SOCK
変数を設定すると、Bobの鍵にアクセスして、Bobのssh接続で使用された鍵にアクセスします。その後、彼の秘密鍵がまだそこにある場合(通常はそうである)、それを使用して任意のホストにアクセスできます。
秘密鍵はエージェントのメモリに暗号化されずに保存されているため、Bobであっても秘密鍵のパスワードを知らなくても、エージェントにアクセスして使用することができると思われます。
もう1つのオプションとして、エージェントの所有者であるユーザーとrootは、エージェントのメモリにアクセスして秘密鍵を抽出することができるかもしれません。
詳しい説明と悪用
Last updated