SSH Forward Agent exploitation

ゼロからヒーローまでのAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスワッグを入手する
The PEASS Family、当社の独占的なNFTsコレクションを発見する
💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする
ハッキングトリックを共有するには、PRを HackTricks および HackTricks Cloud のGitHubリポジトリに提出してください。

Summary

/etc/ssh_configまたは$HOME/.ssh/config内でこのような設定を発見した場合、何ができるでしょうか：

ForwardAgent yes

もしマシン内でroot権限を持っている場合、おそらく/tmpディレクトリ内で見つけることができるsshエージェントを使用して、Bobをなりすますことができます:

BobをなりすますためにBobのssh-agentの1つを使用します:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

SSH_AUTH_SOCK変数を設定すると、Bobの鍵にアクセスして、Bobのssh接続で使用された鍵にアクセスします。その後、彼の秘密鍵がまだそこにある場合（通常はそうである）、それを使用して任意のホストにアクセスできます。

秘密鍵はエージェントのメモリに暗号化されずに保存されているため、Bobであっても秘密鍵のパスワードを知らなくても、エージェントにアクセスして使用することができると思われます。

もう1つのオプションとして、エージェントの所有者であるユーザーとrootは、エージェントのメモリにアクセスして秘密鍵を抽出することができるかもしれません。

Last updated 3 months ago