Harvesting tickets from Linux

Αποθήκευση Διαπιστευτηρίων σε Linux

Τα συστήματα Linux αποθηκεύουν διαπιστευτήρια σε τρεις τύπους cache, δηλαδή Αρχεία (στον φάκελο /tmp), Kernel Keyrings (ένα ειδικό τμήμα στον πυρήνα του Linux) και Μνήμη Διαδικασίας (για χρήση από μία μόνο διαδικασία). Η μεταβλητή default_ccache_name στο /etc/krb5.conf αποκαλύπτει τον τύπο αποθήκευσης που χρησιμοποιείται, προεπιλεγμένα σε FILE:/tmp/krb5cc_%{uid} αν δεν έχει καθοριστεί.

Εξαγωγή Διαπιστευτηρίων

Η εργασία του 2017, Kerberos Credential Thievery (GNU/Linux), περιγράφει μεθόδους για την εξαγωγή διαπιστευτηρίων από keyrings και διαδικασίες, τονίζοντας τον μηχανισμό keyring του πυρήνα Linux για τη διαχείριση και αποθήκευση κλειδιών.

Επισκόπηση Εξαγωγής Keyring

Η κλήση συστήματος keyctl, που εισήχθη στην έκδοση πυρήνα 2.6.10, επιτρέπει στις εφαρμογές χώρου χρήστη να αλληλεπιδρούν με τα kernel keyrings. Τα διαπιστευτήρια στα keyrings αποθηκεύονται ως συστατικά (προεπιλεγμένος κύριος και διαπιστευτήρια), διακριτά από τα αρχεία ccaches που περιλαμβάνουν επίσης μια κεφαλίδα. Το hercules.sh script από την εργασία δείχνει την εξαγωγή και ανακατασκευή αυτών των συστατικών σε ένα χρησιμοποιήσιμο αρχείο ccache για κλοπή διαπιστευτηρίων.

Εργαλείο Εξαγωγής Εισιτηρίων: Tickey

Βασισμένο στις αρχές του hercules.sh script, το tickey εργαλείο έχει σχεδιαστεί ειδικά για την εξαγωγή εισιτηρίων από keyrings, εκτελούμενο μέσω του /tmp/tickey -i.

Αναφορές

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/