Podsumowanie

Co możesz zrobić, jeśli odkryjesz w konfiguracji /etc/ssh_config lub w konfiguracji $HOME/.ssh/config coś takiego:

ForwardAgent yes

Jeśli jesteś rootem wewnątrz maszyny, prawdopodobnie możesz uzyskać dostęp do dowolnego połączenia ssh wykonanego przez dowolnego agenta, który znajdziesz w katalogu /tmp

Podszyj się pod Boba, używając jednego z agentów ssh Boba:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

Dlaczego to działa?

Kiedy ustawiasz zmienną SSH_AUTH_SOCK, uzyskujesz dostęp do kluczy Boba, które zostały użyte w jego połączeniu SSH. Jeśli jego klucz prywatny jest nadal dostępny (zazwyczaj tak jest), będziesz mógł uzyskać dostęp do dowolnego hosta, używając go.

Ponieważ klucz prywatny jest przechowywany w pamięci agenta w postaci niezaszyfrowanej, przypuszczam, że jeśli jesteś Bobem, ale nie znasz hasła do klucza prywatnego, nadal możesz uzyskać dostęp do agenta i go używać.

Inną opcją jest to, że użytkownik będący właścicielem agenta i użytkownik root mogą uzyskać dostęp do pamięci agenta i wydobyć klucz prywatny.

Długie wyjaśnienie i eksploatacja

Sprawdź oryginalne badania tutaj