SSH Forward Agent exploitation

从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)

其他支持HackTricks的方式:

摘要

如果您在/etc/ssh_config$HOME/.ssh/config配置文件中发现以下内容,您可以做什么:

ForwardAgent yes

如果您是机器内的root用户,您可能可以访问在/tmp目录中找到的任何代理生成的ssh连接

使用Bob的ssh-agent之一冒充Bob:

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

为什么会起作用?

当你设置变量 SSH_AUTH_SOCK 时,你正在访问 Bob 的密钥,这些密钥已经在 Bob 的 ssh 连接中使用过。然后,如果他的私钥仍然存在(通常会存在),你将能够使用它来访问任何主机。

由于私钥以未加密的形式保存在代理的内存中,我认为如果你是 Bob,但不知道私钥的密码,你仍然可以访问代理并使用它。

另一个选项是,代理的用户所有者和 root 用户可能能够访问代理的内存并提取私钥。

长说明和利用

查看原始研究

上一页Splunk LPE and Persistence下一页Wildcards Spare tricks

最后更新于