SSH Forward Agent exploitation

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

HackTricks를 지원하는 다른 방법:

회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
공식 PEASS & HackTricks 스웨그를 얻으세요.
The PEASS Family를 발견하세요. 독점적인 NFTs 컬렉션입니다.
💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @carlospolopm을 팔로우하세요.
Hacking 트릭을 공유하려면 HackTricks 및 HackTricks Cloud github 저장소에 PR을 제출하세요.

요약

/etc/ssh_config 또는 $HOME/.ssh/config 구성 내에서 다음을 발견하면 어떻게 할 수 있을까요:

ForwardAgent yes

만약 루트 권한으로 시스템 내부에 접근할 수 있다면, /tmp 디렉토리에서 찾을 수 있는 모든 에이전트로 만들어진 ssh 연결에 접근할 수 있을 것입니다.

Bob의 ssh-agent 중 하나를 사용하여 Bob을 사칭하세요:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

왜 이것이 작동하는가?

SSH_AUTH_SOCK 변수를 설정하면 Bob의 키에 액세스할 수 있습니다. 이 키는 Bob의 ssh 연결에서 사용된 것입니다. 그런 다음, 그의 개인 키가 여전히 그곳에 저장되어 있다면 (보통 그렇습니다), 해당 키를 사용하여 모든 호스트에 액세스할 수 있습니다.

개인 키는 에이전트의 메모리에 암호화되지 않은 상태로 저장되어 있기 때문에, Bob이지만 개인 키의 비밀번호를 모르는 경우에도 에이전트에 액세스하고 사용할 수 있다고 가정합니다.

또 다른 옵션은 에이전트의 사용자 소유자와 루트가 에이전트의 메모리에 액세스하여 개인 키를 추출할 수 있다는 것입니다.

자세한 설명과 공격

원본 연구는 여기에서 확인하세요

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

HackTricks를 지원하는 다른 방법:

HackTricks에서 회사 광고를 보거나 PDF로 HackTricks를 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
공식 PEASS & HackTricks 스웨그를 구매하세요.
독점적인 NFTs인 The PEASS Family를 발견하세요.
💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @carlospolopm를 팔로우하세요.
여러분의 해킹 기법을 공유하려면 HackTricks와 HackTricks Cloud github 저장소에 PR을 제출하세요.

PreviousSplunk LPE and Persistence NextWildcards Spare tricks

Last updated 2 months ago