Harvesting tickets from Linux
Зберігання облікових даних у Linux
Системи Linux зберігають облікові дані в трьох типах кешів, а саме Файли (в каталозі /tmp
), Ключові кільця ядра (спеціальний сегмент у ядрі Linux) та Пам'ять процесу (для використання в одному процесі). Змінна default_ccache_name у файлі /etc/krb5.conf
вказує на тип зберігання, за замовчуванням використовуючи FILE:/tmp/krb5cc_%{uid}
, якщо не вказано інше.
Витягування облікових даних
У 2017 році в статті Крадіжка облікових даних Kerberos (GNU/Linux) описуються методи витягування облікових даних з ключових кілець і процесів, підкреслюючи механізм ключових кілець ядра Linux для управління та зберігання ключів.
Огляд витягування з ключового кільця
Системний виклик keyctl, введений у версії ядра 2.6.10, дозволяє додаткам користувацького простору взаємодіяти з ключовими кільцями ядра. Облікові дані в ключових кільцях зберігаються як компоненти (основний принципал і облікові дані), на відміну від файлових кешів, які також включають заголовок. Скрипт hercules.sh з статті демонструє витягування та реконструкцію цих компонентів у використовуваний файл кешу для крадіжки облікових даних.
Інструмент для витягування квитків: Tickey
Спираючись на принципи скрипта hercules.sh, інструмент tickey спеціально розроблений для витягування квитків з ключових кілець, виконується через /tmp/tickey -i
.
Посилання
Last updated