SSH Forward Agent exploitation

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити вашу компанію рекламовану на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @carlospolopm.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв GitHub.

Summary

Що ви можете зробити, якщо ви виявите в конфігурації /etc/ssh_config або в $HOME/.ssh/config таке:

ForwardAgent yes

Якщо ви є root всередині машини, ви, ймовірно, можете отримати доступ до будь-якого ssh-з'єднання, зробленого будь-яким агентом, якого ви можете знайти в каталозі /tmp

Імітуйте Боба, використовуючи один з ssh-агентів Боба:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

Чому це працює?

Коли ви встановлюєте змінну SSH_AUTH_SOCK, ви отримуєте доступ до ключів Боба, які були використані в його ssh-з'єднанні. Потім, якщо його приватний ключ все ще там (зазвичай він буде), ви зможете отримати доступ до будь-якого хоста, використовуючи його.

Оскільки приватний ключ зберігається в пам'яті агента незашифрованим, я припускаю, що якщо ви є Бобом, але не знаєте пароль до приватного ключа, ви все одно зможете отримати доступ до агента та використовувати його.

Ще один варіант - це те, що власник агента та root можуть мати доступ до пам'яті агента та видобути приватний ключ.

Довге пояснення та експлуатація

Перевірте оригінальне дослідження тут

PreviousSplunk LPE and Persistence NextWildcards Spare tricks

Last updated 1 month ago