Kredensiaalopberging in Linux

Linux-stelsels stoor kredensiale in drie tipes kasgeheues, naamlik Lêers (in die /tmp-gids), Kernel Keyrings ( 'n spesiale segment in die Linux-kernel) en Prosesgeheue (vir enkelprosesgebruik). Die default_ccache_name veranderlike in /etc/krb5.conf onthul die tipe opberging wat gebruik word, wat standaard na FILE:/tmp/krb5cc_%{uid} verwys as dit nie gespesifiseer is nie.

Onttrekking van Kredensiale

Die 2017-artikel, Kerberos Credential Thievery (GNU/Linux), beskryf metodes vir die onttrekking van kredensiale uit sleutelringe en prosesse, met die klem op die Linux-kernel se sleutelringmeganisme vir die bestuur en berging van sleutels.

Oorsig van Sleutelringonttrekking

Die keyctl-stelseloproep, wat in kernelweergawe 2.6.10 ingevoer is, maak dit vir toepassings in gebruikersruimte moontlik om met kernel-sleutelringe te kommunikeer. Kredensiale in sleutelringe word as komponente gestoor (verstekprinsipaal en kredensiale), wat verskil van lêer-ccaches wat ook 'n kop bevat. Die hercules.sh-skripsie uit die artikel demonstreer die onttrekking en herkonstruksie van hierdie komponente in 'n bruikbare lêer-ccache vir kredensiaaldiefstal.

Hulpmiddel vir Onttrekking van Kaartjies: Tickey

Met die beginsels van die hercules.sh-skripsie as basis, is die tickey hulpmiddel spesifiek ontwerp vir die onttrekking van kaartjies uit sleutelringe, uitgevoer deur middel van /tmp/tickey -i.

Verwysings

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/