从内存中窃取未加密的SSH代理密钥
更多互联网新鲜资讯、工作奇淫技巧关注原创【飞鱼在浪屿】(日更新)
文章插图
【从内存中窃取未加密的SSH代理密钥】如果你曾经使用SSH密钥来管理多台计算机 , 很可能已经使用过ssh-agent 。 该工具旨在将SSH密钥保留在内存中 , 从而使用户不必每次都键入密码 。 但是 , 这可能会带来一些安全风险 。 以root身份运行的用户可能具有从内存中提取未加密的SSH密钥并对其进行重构的能力 。
由于需要root用户访问权限 , 因此这种攻击似乎没有用 。 例如 , 攻击者可能能够安装键盘记录器并使用它来获取SSH密钥的密码 。 但是 , 这导致攻击者不得不等待目标键入他们的密码 。
使用SSH代理使用SSH代理的一种常见方法是先运行“ ssh-agent bash” , 然后运行“ ssh-add”以将密钥添加到代理 。 添加后 , 密钥将保留在SSH代理程序的堆栈中 , 直到该过程结束 , 添加了另一个密钥或用户 , 还可以使用-d或-D选项 。 大多数人会运行一次 , 然后忘记它 , 直到需要重新启动 。
从内存中拉出SSH密钥有几种方法可以创建SSH代理内存的副本 。 最简单的方法是使用gdb 。 gdb使用ptrace调用来附加到SSH代理 。 这为gdb提供了创建正在运行的进程的内存转储所必需的特权 。 该grabagentmem.sh脚本 ()提供了自动执行此取出内存快照的方式 。 默认情况下 , 运行时它将为每个SSH代理进程创建00堆栈的内存转储 。 这些文件名为sshagent-PID.stack 。
root@test:/tmp# grabagentmem.sh Created /tmp/SSHagent-17019.stack
如果gdb在系统上不可用 , 则对整个计算机进行内存转储 , 并使用易失性来提取SSH代理进程的堆栈可能是可行的 。 但是 , 此过程当前不在本文档的讨论范围之内 。
从内存转储中解析SSH密钥一旦获得了堆栈的副本 , ?就有可能从该文件中提取密钥 。 但是 , 密钥以与SSH-keygen生成的密钥不同的格式保留在堆栈中 。 这是parse_mem.py脚本()派上用场的地方 。 此脚本需要安装pyasn1 python模块 。 安装完成后 , 可以针对内存文件运行脚本 。 如果该内存文件包含有效的RSA SSH密钥 , 则它将保存到磁盘 。 该工具的未来版本可能支持其他密钥格式 , 例如DSA , ECDSA , ED25519和RSA1 。
root@test:/tmp# parse_mem.py /tmp/SSHagent-17019.stack /tmp/key Found rsa key Creating rsa key: /tmp/key.rsa
然后 , 可以将这个key.rsa文件用作ssh -i的参数 。 这将像原始用户的密钥一样 , 只需要输入密码即可将其解锁 。
获得有效且可用的SSH密钥可以帮助渗透测试人员进一步访问客户端网络 。 在用户帐户以及服务器上的根帐户上 , 同时使用密钥是很常见的 。 服务器也可能配置为仅允许密钥访问 。
- 内存大厂跨界之作!芝奇Enki 360一体式水冷评测:高密度冷排稳压18核心
- 黑客窃取250万个人数据 意大利运营商提醒用户尽快更换SIM卡
- 旗舰|OPPO Find X3曝光:骁龙888/12G内存
- 威刚为英特尔12代Alder Lake平台准备了64GB DDR5-8400内存模组
- 曝Redmi Note 10 Pro获认证:8GB内存
- 三星让渡部分DRAM产能:内存价格或暴涨
- vivo新机亮相跑分平台 配8GB内存搭载天玑820芯片
- Linus Torvalds谈ECC内存的重要性 痛斥英特尔正在扼杀它
- 威刚联手技嘉、微星调试DDR5内存:单条64GB、频率8400MHz
- 努比亚红魔6现身跑分库:骁龙888+8GB内存