SSH Forward Agent exploitation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Podsumowanie

Co możesz zrobić, jeśli odkryjesz w pliku /etc/ssh_config lub w $HOME/.ssh/config taką konfigurację:

ForwardAgent yes

Jeśli jesteś rootem na maszynie, prawdopodobnie możesz uzyskać dostęp do dowolnego połączenia ssh nawiązanego przez dowolnego agenta, którego możesz znaleźć w katalogu /tmp

Podrobienie Boba przy użyciu jednego z agentów ssh Boba:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

Dlaczego to działa?

Gdy ustawiasz zmienną SSH_AUTH_SOCK, uzyskujesz dostęp do kluczy Boba, które były używane w połączeniu ssh Boba. Jeśli jego klucz prywatny nadal tam jest (zwykle tak będzie), będziesz mógł uzyskać dostęp do dowolnego hosta, używając go.

Ponieważ klucz prywatny jest przechowywany w pamięci agenta w postaci niezaszyfrowanej, zakładam, że jeśli jesteś Bobem, ale nie znasz hasła do klucza prywatnego, nadal możesz uzyskać dostęp do agenta i go użyć.

Inną opcją jest to, że użytkownik będący właścicielem agenta oraz root mogą uzyskać dostęp do pamięci agenta i wyodrębnić klucz prywatny.

Długie wyjaśnienie i eksploatacja

Sprawdź oryginalne badania tutaj

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się sztuczkami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.

PreviousSplunk LPE and Persistence NextWildcards Spare tricks

Last updated 7 days ago