Harvesting tickets from Linux
Almacenamiento de Credenciales en Linux
Los sistemas Linux almacenan credenciales en tres tipos de cachés, a saber, Archivos (en el directorio /tmp
), Keyrings del Kernel (un segmento especial en el kernel de Linux) y Memoria de Proceso (para uso de un solo proceso). La variable default_ccache_name en /etc/krb5.conf
revela el tipo de almacenamiento en uso, que por defecto es FILE:/tmp/krb5cc_%{uid}
si no se especifica.
Extracción de Credenciales
El documento de 2017, Kerberos Credential Thievery (GNU/Linux), describe métodos para extraer credenciales de keyrings y procesos, enfatizando el mecanismo de keyring del kernel de Linux para gestionar y almacenar claves.
Resumen de Extracción de Keyring
La llamada al sistema keyctl, introducida en la versión 2.6.10 del kernel, permite a las aplicaciones de espacio de usuario interactuar con los keyrings del kernel. Las credenciales en los keyrings se almacenan como componentes (principal y credenciales predeterminadas), distintos de los cachés de archivos que también incluyen un encabezado. El script hercules.sh del documento demuestra cómo extraer y reconstruir estos componentes en un archivo ccache utilizable para el robo de credenciales.
Herramienta de Extracción de Tickets: Tickey
Basándose en los principios del script hercules.sh, la herramienta tickey está diseñada específicamente para extraer tickets de keyrings, ejecutándose a través de /tmp/tickey -i
.
Referencias
Last updated