{{#include ../../banners/hacktricks-training.md}}

# Zusammenfassung

Was können Sie tun, wenn Sie in der `/etc/ssh_config` oder in der `$HOME/.ssh/config` Konfiguration Folgendes entdecken:
```
ForwardAgent yes
```
Wenn Sie root auf der Maschine sind, können Sie wahrscheinlich **auf jede ssh-Verbindung zugreifen, die von einem Agenten hergestellt wurde**, den Sie im _/tmp_-Verzeichnis finden können.

Ihnen Bob nachahmen, indem Sie einen von Bobs ssh-Agenten verwenden:
```bash
SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston
```
## Warum funktioniert das?

Wenn Sie die Variable `SSH_AUTH_SOCK` setzen, greifen Sie auf die Schlüssel von Bob zu, die in Bobs ssh-Verbindung verwendet wurden. Wenn sein privater Schlüssel noch vorhanden ist (normalerweise wird er es sein), können Sie auf jeden Host zugreifen, der ihn verwendet.

Da der private Schlüssel unverschlüsselt im Speicher des Agents gespeichert ist, nehme ich an, dass Sie, wenn Sie Bob sind, aber das Passwort des privaten Schlüssels nicht kennen, dennoch auf den Agenten zugreifen und ihn verwenden können.

Eine andere Möglichkeit ist, dass der Benutzer, der Eigentümer des Agents ist, und root möglicherweise auf den Speicher des Agents zugreifen und den privaten Schlüssel extrahieren können.

# Lange Erklärung und Ausnutzung

**Überprüfen Sie die [ursprüngliche Forschung hier](https://www.clockwork.com/insights/ssh-agent-hijacking/)**
{{#include ../../banners/hacktricks-training.md}}