Резюме

Що ви можете зробити, якщо ви виявите в /etc/ssh_config або в $HOME/.ssh/config таку конфігурацію:

ForwardAgent yes

Якщо ви є root на машині, ви, напевно, можете доступитися до будь-якого ssh-з'єднання, зробленого будь-яким агентом, яке ви можете знайти в /tmp каталозі

Видати себе за Боба, використовуючи одного з ssh-агентів Боба:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

Чому це працює?

Коли ви встановлюєте змінну SSH_AUTH_SOCK, ви отримуєте доступ до ключів Боба, які використовувалися в ssh-з'єднанні Боба. Тоді, якщо його приватний ключ все ще там (зазвичай так і буде), ви зможете отримати доступ до будь-якого хоста, використовуючи його.

Оскільки приватний ключ зберігається в пам'яті агента у незашифрованому вигляді, я припускаю, що якщо ви Боб, але не знаєте пароля приватного ключа, ви все ще можете отримати доступ до агента і використовувати його.

Ще один варіант полягає в тому, що користувач, який є власником агента, і root можуть отримати доступ до пам'яті агента і витягти приватний ключ.

Довге пояснення та експлуатація

Перевірте оригінальне дослідження тут