Podsumowanie

Reading time: 1 minute

Co możesz zrobić, jeśli odkryjesz w /etc/ssh_config lub w $HOME/.ssh/config konfigurację:

ForwardAgent yes

Jeśli jesteś rootem na maszynie, prawdopodobnie możesz uzyskać dostęp do dowolnego połączenia ssh nawiązanego przez dowolnego agenta, którego możesz znaleźć w katalogu /tmp

Podrobienie Boba za pomocą jednego z agentów ssh Boba:

bash

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

Dlaczego to działa?

Kiedy ustawiasz zmienną SSH_AUTH_SOCK, uzyskujesz dostęp do kluczy Boba, które były używane w połączeniu ssh Boba. Następnie, jeśli jego klucz prywatny nadal tam jest (zwykle tak będzie), będziesz mógł uzyskać dostęp do dowolnego hosta, używając go.

Ponieważ klucz prywatny jest przechowywany w pamięci agenta w postaci niezaszyfrowanej, przypuszczam, że jeśli jesteś Bobem, ale nie znasz hasła do klucza prywatnego, nadal możesz uzyskać dostęp do agenta i go użyć.

Inną opcją jest to, że użytkownik będący właścicielem agenta oraz root mogą być w stanie uzyskać dostęp do pamięci agenta i wyodrębnić klucz prywatny.

Długie wyjaśnienie i eksploatacja

Sprawdź oryginalne badania tutaj

tip

Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.