SSH Forward Agent exploitation
Podsumowanie
Co możesz zrobić, jeśli odkryjesz w konfiguracji /etc/ssh_config
lub w konfiguracji $HOME/.ssh/config
coś takiego:
Jeśli jesteś rootem wewnątrz maszyny, prawdopodobnie możesz uzyskać dostęp do dowolnego połączenia ssh wykonanego przez dowolnego agenta, który znajdziesz w katalogu /tmp
Podszyj się pod Boba, używając jednego z agentów ssh Boba:
Dlaczego to działa?
Kiedy ustawiasz zmienną SSH_AUTH_SOCK
, uzyskujesz dostęp do kluczy Boba, które zostały użyte w jego połączeniu SSH. Jeśli jego klucz prywatny jest nadal dostępny (zazwyczaj tak jest), będziesz mógł uzyskać dostęp do dowolnego hosta, używając go.
Ponieważ klucz prywatny jest przechowywany w pamięci agenta w postaci niezaszyfrowanej, przypuszczam, że jeśli jesteś Bobem, ale nie znasz hasła do klucza prywatnego, nadal możesz uzyskać dostęp do agenta i go używać.
Inną opcją jest to, że użytkownik będący właścicielem agenta i użytkownik root mogą uzyskać dostęp do pamięci agenta i wydobyć klucz prywatny.
Długie wyjaśnienie i eksploatacja
Sprawdź oryginalne badania tutaj
Last updated