Harvesting tickets from Linux
Archiviazione delle Credenziali in Linux
I sistemi Linux memorizzano le credenziali in tre tipi di cache, ovvero File (nella directory /tmp
), Kernel Keyrings (un segmento speciale nel kernel Linux) e Memoria del Processo (per uso di singolo processo). La variabile default_ccache_name in /etc/krb5.conf
rivela il tipo di archiviazione in uso, predefinito a FILE:/tmp/krb5cc_%{uid}
se non specificato.
Estrazione delle Credenziali
Il documento del 2017, Kerberos Credential Thievery (GNU/Linux), delinea metodi per estrarre credenziali da keyrings e processi, enfatizzando il meccanismo del keyring del kernel Linux per gestire e memorizzare le chiavi.
Panoramica dell'Estrazione del Keyring
La chiamata di sistema keyctl, introdotta nella versione del kernel 2.6.10, consente alle applicazioni in user space di interagire con i keyrings del kernel. Le credenziali nei keyrings sono memorizzate come componenti (principale predefinito e credenziali), distinte dalle cache di file che includono anche un'intestazione. Lo script hercules.sh del documento dimostra come estrarre e ricostruire questi componenti in un file ccache utilizzabile per il furto di credenziali.
Strumento di Estrazione dei Ticket: Tickey
Basato sui principi dello script hercules.sh, lo strumento tickey è specificamente progettato per estrarre ticket dai keyrings, eseguito tramite /tmp/tickey -i
.
Riferimenti
Last updated