1.5 KiB
{{#include ../../banners/hacktricks-training.md}}
Zusammenfassung
Was können Sie tun, wenn Sie in der /etc/ssh_config oder in der $HOME/.ssh/config Konfiguration Folgendes entdecken:
ForwardAgent yes
Wenn Sie root auf der Maschine sind, können Sie wahrscheinlich auf jede ssh-Verbindung zugreifen, die von einem Agenten hergestellt wurde, den Sie im /tmp-Verzeichnis finden können.
Ihnen Bob nachahmen, indem Sie einen von Bobs ssh-Agenten verwenden:
SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston
Warum funktioniert das?
Wenn Sie die Variable SSH_AUTH_SOCK setzen, greifen Sie auf die Schlüssel von Bob zu, die in Bobs ssh-Verbindung verwendet wurden. Wenn sein privater Schlüssel noch vorhanden ist (normalerweise wird er es sein), können Sie auf jeden Host zugreifen, der ihn verwendet.
Da der private Schlüssel unverschlüsselt im Speicher des Agents gespeichert ist, nehme ich an, dass Sie, wenn Sie Bob sind, aber das Passwort des privaten Schlüssels nicht kennen, dennoch auf den Agenten zugreifen und ihn verwenden können.
Eine andere Möglichkeit ist, dass der Benutzer, der Eigentümer des Agents ist, und root möglicherweise auf den Speicher des Agents zugreifen und den privaten Schlüssel extrahieren können.
Lange Erklärung und Ausnutzung
Überprüfen Sie die ursprüngliche Forschung hier {{#include ../../banners/hacktricks-training.md}}