mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
27 lines
2.0 KiB
Markdown
27 lines
2.0 KiB
Markdown
{{#include ../../banners/hacktricks-training.md}}
|
||
|
||
# Резюме
|
||
|
||
Що ви можете зробити, якщо ви виявите в `/etc/ssh_config` або в `$HOME/.ssh/config` таку конфігурацію:
|
||
```
|
||
ForwardAgent yes
|
||
```
|
||
Якщо ви є root на машині, ви, напевно, можете **доступитися до будь-якого ssh-з'єднання, зробленого будь-яким агентом**, яке ви можете знайти в _/tmp_ каталозі
|
||
|
||
Видати себе за Боба, використовуючи одного з ssh-агентів Боба:
|
||
```bash
|
||
SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston
|
||
```
|
||
## Чому це працює?
|
||
|
||
Коли ви встановлюєте змінну `SSH_AUTH_SOCK`, ви отримуєте доступ до ключів Боба, які використовувалися в ssh-з'єднанні Боба. Тоді, якщо його приватний ключ все ще там (зазвичай так і буде), ви зможете отримати доступ до будь-якого хоста, використовуючи його.
|
||
|
||
Оскільки приватний ключ зберігається в пам'яті агента у незашифрованому вигляді, я припускаю, що якщо ви Боб, але не знаєте пароля приватного ключа, ви все ще можете отримати доступ до агента і використовувати його.
|
||
|
||
Ще один варіант полягає в тому, що користувач, який є власником агента, і root можуть отримати доступ до пам'яті агента і витягти приватний ключ.
|
||
|
||
# Довге пояснення та експлуатація
|
||
|
||
**Перевірте [оригінальне дослідження тут](https://www.clockwork.com/insights/ssh-agent-hijacking/)**
|
||
{{#include ../../banners/hacktricks-training.md}}
|