Harvesting tickets from Linux

Archiviazione delle Credenziali in Linux

I sistemi Linux memorizzano le credenziali in tre tipi di cache, ovvero File (nella directory /tmp), Kernel Keyrings (un segmento speciale nel kernel Linux) e Memoria del Processo (per uso di singolo processo). La variabile default_ccache_name in /etc/krb5.conf rivela il tipo di archiviazione in uso, predefinito a FILE:/tmp/krb5cc_%{uid} se non specificato.

Estrazione delle Credenziali

Il documento del 2017, Kerberos Credential Thievery (GNU/Linux), delinea metodi per estrarre credenziali da keyrings e processi, enfatizzando il meccanismo del keyring del kernel Linux per gestire e memorizzare le chiavi.

Panoramica sull'Estrazione del Keyring

La chiamata di sistema keyctl, introdotta nella versione del kernel 2.6.10, consente alle applicazioni in user space di interagire con i keyrings del kernel. Le credenziali nei keyrings sono memorizzate come componenti (principale predefinito e credenziali), distinte dalle cache di file che includono anche un'intestazione. Lo script hercules.sh del documento dimostra come estrarre e ricostruire questi componenti in un file ccache utilizzabile per il furto di credenziali.

Strumento di Estrazione dei Ticket: Tickey

Basato sui principi dello script hercules.sh, lo strumento tickey è specificamente progettato per estrarre ticket dai keyrings, eseguito tramite /tmp/tickey -i.

Riferimenti

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/