Harvesting tickets from Linux

Armazenamento de Credenciais no Linux

Sistemas Linux armazenam credenciais em três tipos de caches, a saber Arquivos (no diretório /tmp), Keyrings do Kernel (um segmento especial no kernel do Linux) e Memória do Processo (para uso de um único processo). A variável default_ccache_name em /etc/krb5.conf revela o tipo de armazenamento em uso, padrão para FILE:/tmp/krb5cc_%{uid} se não especificado.

Extraindo Credenciais

O artigo de 2017, Kerberos Credential Thievery (GNU/Linux), descreve métodos para extrair credenciais de keyrings e processos, enfatizando o mecanismo de keyring do kernel Linux para gerenciar e armazenar chaves.

Visão Geral da Extração de Keyring

A chamada de sistema keyctl, introduzida na versão 2.6.10 do kernel, permite que aplicativos de espaço do usuário interajam com keyrings do kernel. Credenciais em keyrings são armazenadas como componentes (principal padrão e credenciais), distintas dos caches de arquivos que também incluem um cabeçalho. O script hercules.sh do artigo demonstra a extração e reconstrução desses componentes em um arquivo ccache utilizável para roubo de credenciais.

Ferramenta de Extração de Tickets: Tickey

Baseando-se nos princípios do script hercules.sh, a ferramenta tickey é projetada especificamente para extrair tickets de keyrings, executada via /tmp/tickey -i.

Referências

Last updated